我刚刚在我们拥有的少数几个 Ubuntu 机器之一上收到了一个我从未见过的网络警报:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
的校验和vmlinuz已更改。我明白了来自维基百科这与内核有关。
我是否应该关心它的校验和是否已更改?此特定服务器确实运行WordPress其第三方插件因存在漏洞而闻名,因此我非常重视它发出的警报。
我得出结论,该服务器已被入侵。安全总比后悔好,因为/var/log/apache2/access.log是 0 字节,而且应该有一点(不多,但有一点)数据,而且很明显看起来像是某种东西(最有可能是机器人)在掩盖他们的踪迹。是时候拿出昨晚的备份了 :)
答案1
这是压缩的内核,如果它在您不知情的情况下被更改,您应该小心,因为如果内核被替换,您可能会受到任何攻击。这可能是一个正当的理由,但除非您确定,否则您不应该信任更改后的内核。
答案2
我从维基百科上看到,这与内核有关
这是轻描淡写的说法:维姆林兹文件是内核本身。启动服务器时会加载此文件,然后解压缩(因此为“z”),然后启动。
如果您重新编译或安装了新内核,则无需担心。如果您没有这样做,请仔细查看此文件,或将其替换为已知的良好版本。
使用以下方法将此文件设为只读chattr 并且在重启之前不允许 root 更改此设置也是一个好主意。
答案3
这不是必须做的事和你的内核;它是你的内核。如果你重启,而这个文件已经损坏,那么事情就会变得很糟糕。
您在消息中提到的时间是否有内核更新?
答案4
这是压缩的(因此是“z”)内核映像。除非您执行内核升级,否则它应该不会改变。
我猜您很明智地认为这可能是由于漏洞造成的,但您也知道,这也可能是由于底层磁盘或文件系统问题造成的,在这种情况下,您应该会看到其他文件系统错误日志。无论如何,这都是需要检查的事情。