vmlinuz คืออะไรและทำไมฉันถึงสนใจ?

14

ฉันเพิ่งได้รับการแจ้งเตือนเครือข่ายที่ฉันไม่เคยเห็นมาก่อนในหนึ่งในไม่กี่กล่องของ Ubuntu ที่เรามี:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

การตรวจสอบการvmlinuzเปลี่ยนแปลง ฉันเห็นจากWikipediaว่าสิ่งนี้เกี่ยวข้องกับเคอร์เนล

ฉันควรจะสนใจว่าเช็คซัมมีการเปลี่ยนแปลงหรือไม่? เซิร์ฟเวอร์เฉพาะนี้ใช้งาน Wordpress ซึ่งเป็นที่รู้จักกันดีในเรื่องช่องโหว่ในปลั๊กอินของบุคคลที่สามดังนั้นฉันจึงมักจะทำการแจ้งเตือนจากมันอย่างจริงจัง

ฉันกำลังสรุปว่าเซิร์ฟเวอร์นี้ถูกบุกรุก ปลอดภัยกว่าดีกว่าขออภัยเช่นเดียวกับ/var/log/apache2/access.log0 ไบต์และควรมีข้อมูล (ไม่มาก แต่น้อย) ในนั้นและดูเหมือนชัดเจนว่ามีบางสิ่ง (บอทที่เป็นไปได้มากที่สุด) ที่ครอบคลุมแทร็กของพวกเขา เวลาดึงข้อมูลสำรองคืนที่ผ่านมา :)

— มาร์คเฮนเดอร์สัน
แหล่งที่มา

ในระบบ Ubuntu /vmlinuzควรเป็นสัญลักษณ์ของเคอร์เนลที่อยู่ภายใต้/boot/vmlinux-?.?.?-???เว้นแต่ว่านี่จะเป็น VM ประเภทที่โฮสต์

— Zoredache

@Zoredache - ใช่lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— ทำเครื่องหมายเฮนเดอร์สัน

11

นี่คือเคอร์เนลที่ถูกบีบอัดและคุณควรระวังถ้ามันเปลี่ยนไปโดยที่คุณไม่รู้เพราะถ้าเคอร์เนลถูกแทนที่คุณสามารถเปิดการโจมตีใด ๆ ได้ อาจเป็นเหตุผลที่ถูกต้องตามกฎหมาย แต่ถ้าคุณไม่แน่ใจคุณไม่ควรเชื่อถือเคอร์เนลที่ถูกเปลี่ยน

— johnshen64
แหล่งที่มา

5

ไม่ใช่สิ่งที่เกี่ยวข้องกับเคอร์เนลของคุณ แต่เป็นเคอร์เนลของคุณ หากคุณรีบูทและไฟล์นั้นเสียหายอึที่เลื่องลือก็กำลังฮิตแฟนสุภาษิต

คุณมีการอัพเดตเคอร์เนลตามเวลาที่ระบุไว้ในข้อความหรือไม่?

— wzzrd
แหล่งที่มา

ตกลงคิวคำถามโง่ถัดไป (ฉันจัดการกับเครื่อง Windows 99%) ฉันจะตรวจสอบการอัปเดตเคอร์เนลได้อย่างไร เซิร์ฟเวอร์นี้แทบไม่เคยลงชื่อเข้าใช้เลยดังนั้นฉันสงสัยอย่างมากว่ามีอะไรเกิดขึ้นเอง

— Mark Henderson

ตรวจสอบว่ามีคนล็อกอินเมื่อวานนี้เพื่ออัพเกรดเคอร์เนล: last -i และ history (ค้นหาการอัพเดตและการอัพเกรด apt-get / aptitude) ตรวจสอบว่ามีการเปิดการอัปเดตอัตโนมัติอยู่หรือไม่ (iirc ubuntu มีhelp.ubuntu.com/community/AutomaticSecurityUpdates )

@MarkHenderson ตรวจสอบการเข้าถึงแก้ไขและเปลี่ยนวันที่ด้วย '' stat / vmlinuz '' คุณน่าจะเห็นการอัปเดตใน '' /var/log/dpkg.log '' อย่างไรก็ตามหากเครื่องไม่ได้รับการกำหนดค่าสำหรับการอัปเดตอัตโนมัติแสดงว่าควรมีน้อยมาก

— wzzrd

ตรวจสอบงาน cron ด้วยเช่นกันผู้จัดการแพ็คเกจบางคนจะทำการอัพเดทผ่าน cron โดยอัตโนมัติ

5

I see from Wikipedia that this has something to do with the kernel

นั่นคือการพูดน้อย: ไฟล์ vmlinuz เป็นเคอร์เนลเอง ไฟล์นี้เป็นไฟล์ที่โหลดเมื่อคุณบู๊ตเซิร์ฟเวอร์จากนั้นไฟล์จะไม่ถูกบีบอัด (ด้วยเหตุนี้ 'z') จากนั้นจึงเริ่ม

หากคุณคอมไพล์ใหม่หรือติดตั้งเคอร์เนลใหม่ก็ไม่มีอะไรน่ากังวล หากคุณไม่ทำสิ่งนี้ให้มองที่ไฟล์นี้อย่างใกล้ชิดหรือแทนที่ด้วยรุ่นที่รู้จักดี

การทำให้ไฟล์นี้เป็นแบบอ่านอย่างเดียวด้วยchattr และไม่อนุญาตให้รูทเปลี่ยนสิ่งนี้จนกระทั่งหลังจากรีบูตก็เป็นความคิดที่ดีเช่นกัน

— Hennes
แหล่งที่มา

3

นั่นคืออิมเมจเคอร์เนลที่บีบอัด (ดังนั้น "z") ไม่ควรเปลี่ยนเป็นช่วงสั้น ๆ ที่คุณทำการอัปเกรดเคอร์เนล

ฉันเดาว่าคุณฉลาดในความสงสัยของคุณว่านี่อาจเป็นเพราะช่องโหว่ แต่อย่างที่คุณรู้มันอาจเป็นเพราะปัญหาพื้นฐานของดิสก์หรือ fs ซึ่งในกรณีนี้คุณควรเห็นบันทึกข้อผิดพลาดของระบบไฟล์อื่น ไม่ว่าจะด้วยวิธีใดก็เป็นสิ่งที่ควรตรวจสอบ

— EEAA
แหล่งที่มา