Ho appena ricevuto un avviso di rete che non avevo mai visto prima, su una delle poche scatole di Ubuntu che abbiamo:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Il checksum è vmlinuz
cambiato. Vedo da Wikipedia che questo ha qualcosa a che fare con il kernel.
Dovrei preoccuparmi che il suo checksum sia cambiato? Questo particolare server esegue Wordpress che è noto per le vulnerabilità nei suoi plugin di terze parti, quindi tendo a prenderne abbastanza seriamente gli avvisi.
Sto concludendo che questo server è stato compromesso. Meglio prevenire che curare, come /var/log/apache2/access.log
0 byte, e dovrebbero esserci un po '(non molto, ma un po') di dati, e sembra chiaramente qualcosa (un bot molto probabilmente) che copre le loro tracce. È ora di estrarre il backup delle scorse notti :)
lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
/vmlinuz
dovrebbe essere un simbolo di un kernel sotto/boot/vmlinux-?.?.?-???
, a meno che non si tratti di una sorta di VM ospitata.