Je viens de recevoir une alerte réseau que je n'ai jamais vue auparavant, sur l'une des rares boîtes Ubuntu que nous avons:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
La somme de contrôle a vmlinuz
changé. Je vois sur Wikipedia que cela a quelque chose à voir avec le noyau.
Dois-je me soucier que sa somme de contrôle ait changé? Ce serveur particulier exécute Wordpress, connu pour ses vulnérabilités dans ses plugins tiers, j'ai donc tendance à prendre les alertes très au sérieux.
Je conclus que ce serveur a été compromis. Mieux vaut prévenir que guérir, tout comme /var/log/apache2/access.log
0 octet, et il devrait y avoir un peu (pas beaucoup, mais un peu) de données là-dedans, et cela ressemble clairement à quelque chose (un bot le plus probable) couvrant leurs traces. Il est temps de retirer la sauvegarde des dernières nuits :)
lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
/vmlinuz
devraient être symboliques pour un noyau sous/boot/vmlinux-?.?.?-???
, sauf s'il s'agit d'une sorte de machine virtuelle hébergée.