Che cos'è vmlinuz e perché me ne importa?

14

Ho appena ricevuto un avviso di rete che non avevo mai visto prima, su una delle poche scatole di Ubuntu che abbiamo:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Il checksum è vmlinuzcambiato. Vedo da Wikipedia che questo ha qualcosa a che fare con il kernel.

Dovrei preoccuparmi che il suo checksum sia cambiato? Questo particolare server esegue Wordpress che è noto per le vulnerabilità nei suoi plugin di terze parti, quindi tendo a prenderne abbastanza seriamente gli avvisi.

Sto concludendo che questo server è stato compromesso. Meglio prevenire che curare, come /var/log/apache2/access.log0 byte, e dovrebbero esserci un po '(non molto, ma un po') di dati, e sembra chiaramente qualcosa (un bot molto probabilmente) che copre le loro tracce. È ora di estrarre il backup delle scorse notti :)

— Mark Henderson
fonte

Sui sistemi Ubuntu /vmlinuzdovrebbe essere un simbolo di un kernel sotto /boot/vmlinux-?.?.?-???, a meno che non si tratti di una sorta di VM ospitata.

— Zoredache,

@Zoredache - sì,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— Mark Henderson

11

Questo è il kernel compresso e dovresti preoccuparti se è mai cambiato senza che tu lo sapessi, perché se il kernel fosse sostituito, potresti essere aperto a qualsiasi attacco. Potrebbe essere stato un motivo legittimo, ma a meno che tu non sia sicuro, non dovresti fidarti del kernel modificato.

— johnshen64
fonte

5

Non è qualcosa che ha a che fare con il tuo kernel, è il tuo kernel. Se riavvii e quel file è corrotto, la proverbiale merda colpirà il proverbiale fan.

Avevi un aggiornamento del kernel al momento indicato nel messaggio?

— wzzrd
fonte

Ok, fai la prossima domanda stupida (ho a che fare con il 99% di macchine Windows), come posso verificare la disponibilità di un aggiornamento del kernel? Questo server non ha quasi mai effettuato l'accesso, quindi dubito fortemente che qualcosa sia stato attivato manualmente.

— Mark Henderson

controlla se qualcuno ha effettuato l'accesso ieri per aggiornare il kernel: last -i e history (cerca apt-get / aptitude update and upgrade). Controlla se sono attivi alcuni aggiornamenti automatici (iirc ubuntu ha qualche help.ubuntu.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Controlla l'accesso, modifica e cambia le date con '' stat / vmlinuz ''. Probabilmente dovresti essere in grado di vedere gli aggiornamenti in '' /var/log/dpkg.log ''. Tuttavia, se la macchina non è configurata per gli aggiornamenti automatici, ciò dovrebbe mostrare molto poco.

— wzzrd,

Controlla anche i lavori cron, alcuni gestori pacchetti eseguiranno automaticamente gli aggiornamenti tramite cron.

5

I see from Wikipedia that this has something to do with the kernel

Questo è un eufemismo: il file vmlinuz è il kernel stesso. È questo file che viene caricato all'avvio del server, quindi viene decompresso (da qui la 'z') e quindi avviato.

Se hai ricompilato o installato un nuovo kernel, non c'è nulla di cui preoccuparsi. Se non hai fatto nulla del genere, osserva attentamente questo file o sostituiscilo con una versione ben nota.

Anche rendere questo file di sola lettura chattr e impedire a root di modificarlo fino a dopo il riavvio è anche una buona idea.

— Hennes
fonte

3

Questa è l'immagine del kernel compresso (da qui la "z"). Non dovrebbe essere cambiato a meno che tu esegua un aggiornamento del kernel.

Immagino che tu sia saggio nel tuo sospetto che ciò possa essere dovuto a una vulnerabilità, ma come sai, potrebbe anche essere dovuto a problemi del disco o dei fs sottostanti, nel qual caso dovresti vedere altri log degli errori del file system. Ad ogni modo, è qualcosa da controllare.

— EEAA
fonte