Qu'est-ce que vmlinuz et pourquoi je m'en soucie?

14

Je viens de recevoir une alerte réseau que je n'ai jamais vue auparavant, sur l'une des rares boîtes Ubuntu que nous avons:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

La somme de contrôle a vmlinuzchangé. Je vois sur Wikipedia que cela a quelque chose à voir avec le noyau.

Dois-je me soucier que sa somme de contrôle ait changé? Ce serveur particulier exécute Wordpress, connu pour ses vulnérabilités dans ses plugins tiers, j'ai donc tendance à prendre les alertes très au sérieux.

Je conclus que ce serveur a été compromis. Mieux vaut prévenir que guérir, tout comme /var/log/apache2/access.log0 octet, et il devrait y avoir un peu (pas beaucoup, mais un peu) de données là-dedans, et cela ressemble clairement à quelque chose (un bot le plus probable) couvrant leurs traces. Il est temps de retirer la sauvegarde des dernières nuits :)

— Mark Henderson
source

Sur Ubuntu, les systèmes /vmlinuzdevraient être symboliques pour un noyau sous /boot/vmlinux-?.?.?-???, sauf s'il s'agit d'une sorte de machine virtuelle hébergée.

— Zoredache

@Zoredache - oui,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— Mark Henderson

11

Il s'agit du noyau compressé et vous devriez vous soucier s'il a changé sans que vous le sachiez, car si le noyau était remplacé, vous pourriez être ouvert à toute attaque. C'était peut-être une raison légitime, mais à moins d'être sûr, vous ne devriez pas faire confiance au noyau modifié.

— johnshen64
source

5

Il n'est pas quelque chose qui doit faire avec votre noyau, il est votre noyau. Si vous redémarrez et que ce fichier est corrompu, la merde proverbiale va frapper le ventilateur proverbial.

Avez-vous eu une mise à jour du noyau à l'heure mentionnée dans le message?

— wzzrd
source

Ok file d'attente prochaine question stupide (je traite avec 99% des machines Windows), comment puis-je vérifier une mise à jour du noyau? Ce serveur n'est presque jamais connecté, donc je doute fort que quelque chose ait été déclenché manuellement.

— Mark Henderson

vérifiez si quelqu'un s'est connecté hier pour mettre à niveau le noyau: dernier -i et historique (recherchez la mise à jour et la mise à niveau apt-get / aptitude). Vérifiez si certaines mises à jour automatiques sont activées (iirc ubuntu dispose de help.ubuntu.com/community/AutomaticSecurityUpdates ).

@MarkHenderson Vérifiez l'accès, modifiez et changez les dates avec '' stat / vmlinuz ''. Vous devriez probablement pouvoir voir les mises à jour dans '' /var/log/dpkg.log ''. Cependant, si la machine n'est pas configurée pour les mises à jour automatiques, cela devrait montrer très peu.

— wzzrd

Vérifiez également les tâches cron, certains gestionnaires de paquets effectueront automatiquement des mises à jour via cron.

5

I see from Wikipedia that this has something to do with the kernel

C'est un euphémisme: le fichier vmlinuz est le noyau lui-même. C'est ce fichier qui est chargé lorsque vous démarrez votre serveur, puis il n'est pas compressé (d'où le «z»), puis démarré.

Si vous avez recompilé ou installé un nouveau noyau, il n'y a rien à craindre. Si vous n'avez rien fait de tel, examinez attentivement ce fichier ou remplacez-le par une version connue.

Rendre ce fichier en lecture seule avec chattr et interdire à root de le changer jusqu'à ce qu'un redémarrage soit également une bonne idée.

— Hennes
source

3

Il s'agit de l'image du noyau compressée (d'où le "z"). Cela ne devrait pas avoir changé avant que vous n'effectuiez une mise à niveau du noyau.

Je suppose que vous pensez que cela peut être dû à une vulnérabilité, mais comme vous le savez, cela peut également être dû à des problèmes de disque ou de fs sous-jacents, auquel cas vous devriez voir d'autres journaux d'erreurs du système de fichiers. Quoi qu'il en soit, c'est quelque chose à vérifier.

— EEAA
source