Che cos'è vmlinuz e perché me ne importa?


14

Ho appena ricevuto un avviso di rete che non avevo mai visto prima, su una delle poche scatole di Ubuntu che abbiamo:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Il checksum è vmlinuzcambiato. Vedo da Wikipedia che questo ha qualcosa a che fare con il kernel.

Dovrei preoccuparmi che il suo checksum sia cambiato? Questo particolare server esegue Wordpress che è noto per le vulnerabilità nei suoi plugin di terze parti, quindi tendo a prenderne abbastanza seriamente gli avvisi.


Sto concludendo che questo server è stato compromesso. Meglio prevenire che curare, come /var/log/apache2/access.log0 byte, e dovrebbero esserci un po '(non molto, ma un po') di dati, e sembra chiaramente qualcosa (un bot molto probabilmente) che copre le loro tracce. È ora di estrarre il backup delle scorse notti :)


Sui sistemi Ubuntu /vmlinuzdovrebbe essere un simbolo di un kernel sotto /boot/vmlinux-?.?.?-???, a meno che non si tratti di una sorta di VM ospitata.
Zoredache,

@Zoredache - sì,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Risposte:


11

Questo è il kernel compresso e dovresti preoccuparti se è mai cambiato senza che tu lo sapessi, perché se il kernel fosse sostituito, potresti essere aperto a qualsiasi attacco. Potrebbe essere stato un motivo legittimo, ma a meno che tu non sia sicuro, non dovresti fidarti del kernel modificato.


5

Non è qualcosa che ha a che fare con il tuo kernel, è il tuo kernel. Se riavvii e quel file è corrotto, la proverbiale merda colpirà il proverbiale fan.

Avevi un aggiornamento del kernel al momento indicato nel messaggio?


Ok, fai la prossima domanda stupida (ho a che fare con il 99% di macchine Windows), come posso verificare la disponibilità di un aggiornamento del kernel? Questo server non ha quasi mai effettuato l'accesso, quindi dubito fortemente che qualcosa sia stato attivato manualmente.
Mark Henderson

controlla se qualcuno ha effettuato l'accesso ieri per aggiornare il kernel: last -i e history (cerca apt-get / aptitude update and upgrade). Controlla se sono attivi alcuni aggiornamenti automatici (iirc ubuntu ha qualche help.ubuntu.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Controlla l'accesso, modifica e cambia le date con '' stat / vmlinuz ''. Probabilmente dovresti essere in grado di vedere gli aggiornamenti in '' /var/log/dpkg.log ''. Tuttavia, se la macchina non è configurata per gli aggiornamenti automatici, ciò dovrebbe mostrare molto poco.
wzzrd,

Controlla anche i lavori cron, alcuni gestori pacchetti eseguiranno automaticamente gli aggiornamenti tramite cron.

5

I see from Wikipedia that this has something to do with the kernel

Questo è un eufemismo: il file vmlinuz è il kernel stesso. È questo file che viene caricato all'avvio del server, quindi viene decompresso (da qui la 'z') e quindi avviato.

Se hai ricompilato o installato un nuovo kernel, non c'è nulla di cui preoccuparsi. Se non hai fatto nulla del genere, osserva attentamente questo file o sostituiscilo con una versione ben nota.

Anche rendere questo file di sola lettura chattr e impedire a root di modificarlo fino a dopo il riavvio è anche una buona idea.


3

Questa è l'immagine del kernel compresso (da qui la "z"). Non dovrebbe essere cambiato a meno che tu esegua un aggiornamento del kernel.

Immagino che tu sia saggio nel tuo sospetto che ciò possa essere dovuto a una vulnerabilità, ma come sai, potrebbe anche essere dovuto a problemi del disco o dei fs sottostanti, nel qual caso dovresti vedere altri log degli errori del file system. Ad ogni modo, è qualcosa da controllare.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.