Я только что получил сетевое оповещение, которого я никогда раньше не видел, на одном из немногих имеющихся у нас Ubuntu:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Контрольная сумма vmlinuz изменилось. Я вижу из Википедия что это как-то связано с ядром.
Следует ли мне заботиться о том, что его контрольная сумма изменилась? Этот конкретный сервер действительно запускает Wordpress, который известен уязвимостями в своих сторонних плагинах, поэтому я склонен относиться к его предупреждениям довольно серьезно.
Я делаю вывод, что этот сервер был взломан. Лучше перестраховаться, чем сожалеть, поскольку /var/log/apache2/access.log составляет 0 байт, и там должно быть немного (немного, но немного) данных, и это явно похоже на что-то (скорее всего, бот), заметающий свои следы. Пора вытащить резервную копию прошлой ночи :)
Это сжатое ядро, и вам следует позаботиться о том, изменилось ли оно когда-либо без вашего ведома, потому что, если ядро было заменено, вы могли быть уязвимы для любой атаки. Возможно, это была законная причина, но если вы не уверены, не стоит доверять измененному ядру.
I see from Wikipedia that this has something to do with the kernel
Это преуменьшение: файл vmlinuz - это само ядро. Именно этот файл загружается при загрузке сервера, затем он распаковывается (отсюда и буква «z»), а затем запускается.
Если вы перекомпилировали или установили новое ядро, беспокоиться не о чем. Если вы этого не сделали, внимательно посмотрите на этот файл или замените его заведомо хорошей версией.
Сделать этот файл доступным только для чтения с помощью chattr и запретить root изменять это до перезагрузки - тоже хорошая идея.
Это не то, что нужно делать с участием ваше ядро, это является ваше ядро. Если вы перезагружаетесь, и этот файл поврежден, пресловутая хрень поразит пресловутого поклонника.
Было ли у вас обновление ядра во время, указанное в сообщении?
Это сжатый (отсюда "z") образ ядра. Он не должен был измениться, если вы не обновили ядро.
Я предполагаю, что вы разумно подозреваете, что это может быть связано с уязвимостью, но, как вы знаете, это также может быть связано с проблемами с базовым диском или файловой системой, и в этом случае вы должны увидеть другие журналы ошибок файловой системы. В любом случае, это то, что нужно проверить.