我刚刚收到了一个我从未见过的networking警报,在我们所拥有的几个Ubuntu盒子之一上:
The following monitoring trigger has been fired: /vmlinuz has been changed on server XXXXX: PROBLEM 2012.09.19 06:24:33 Trigger key: vfs.file.cksum[/vmlinuz] Value: 3397367448 Host: XXXXX vmlinuz的校验和改变了。 我从维基百科看到,这与内核有关。
我应该关心它的校验和已经改变了吗? 这个特定的服务器运行的第三方插件的漏洞已知的Wordpress,所以我倾向于非常认真地采取警报。
我得出这个服务器已经被入侵的结论。 因为/var/log/apache2/access.log是0字节,应该有一点(没有太多,但有点)的数据在那里,它显然看起来像一些东西(一个机器人最有可能)覆盖他们的轨道。 时间拔出昨晚备份:)
这是压缩的内核,你应该关心它是否在你不知道的情况下改变了,因为如果内核被replace了,你可能会被攻击。 这可能是一个合法的原因,但除非你确定,否则你不应该相信已更改的内核。
这与你的内核不是一回事,而是你的内核。 如果你重新启动,并且该文件已经损坏,那么众所周知的狗屎将会成为众矢之的。
消息中提到的时间是否有内核更新?
I see from Wikipedia that this has something to do with the kernel
这是一个轻描淡写:vmlinuz文件是内核本身。 正是这个文件,当你启动你的服务器时被加载,然后得到解压缩(因此'z'),然后启动。
如果你重新编译或安装了一个新的内核,那么没有什么可担心的。 如果你没有这样的事情,那么仔细看看这个文件,或者用一个好的版本来replace它。
使用chattr将此文件设置为只读并禁止根目录更改此设置,直到重新启动后也是一个好主意。
这是压缩的(因此是“z”)内核映像。 它应该没有改变你执行内核升级。
我猜你是明智的,怀疑这可能是由于漏洞造成的,但是正如你所知,这也可能是由于底层的磁盘或fs问题,在这种情况下,你应该看到其他的文件系统错误日志。 无论哪种方式,这是检查到的东西。