私が持っている数少ないUbuntuボックスの1つで、今まで見たことのないネットワークアラートを受け取りました。
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
vmlinuz
のチェックサムが変更されました。 Wikipedia から、これはカーネルと関係があることがわかります。
チェックサムが変更されたことを気にする必要がありますか?この特定のサーバーは実行しますWordpressこれはサードパーティのプラグインの脆弱性で知られているため、かなり真剣にアラートを受け取る傾向があります。
このサーバーが侵害されたと私は結論を出しています。 /var/log/Apache2/access.log
は0バイトであり、そこにデータが少し(多くはありませんが少し)あり、トラックをカバーしている何か(ボットである可能性が高い)のように見えるため、申し訳ありませんが安全です。昨夜のバックアップを引き出す時間:)
これは圧縮されたカーネルであり、知らないうちに変更されたかどうかに注意する必要があります。カーネルが交換された場合、攻撃を受ける可能性があるためです。これは正当な理由かもしれませんが、確信がない限り、変更されたカーネルを信頼すべきではありません。
それはwithカーネルを実行する必要があるものではなく、isカーネルです。再起動して、そのファイルが破損している場合、ことわざはことわざのファンに当たるでしょう。
メッセージに記載された時点でカーネルの更新はありましたか?
I see from Wikipedia that this has something to do with the kernel
それは控えめな表現です:vmlinuzファイルはカーネル自体です。サーバーの起動時に読み込まれるのはこのファイルであり、次に圧縮解除され(したがって「z」)、次に起動されます。
新しいカーネルを再コンパイルまたはインストールした場合、心配する必要はありません。そのようなことをしなかった場合は、このファイルをよく見るか、既知の適切なバージョンに置き換えてください。
chattr
を使用してこのファイルを読み取り専用にし、再起動後までrootがこれを変更できないようにすることも良い考えです。
これは圧縮された(つまり「z」)カーネルイメージです。カーネルのアップグレードを実行するまでは、変更されていないはずです。
これは脆弱性が原因である可能性があると疑っていると思いますが、ご存知のように、基礎となるディスクまたはfsの問題である可能性もあります。その場合、他のファイルシステムエラーログが表示されるはずです。どちらにしても、確認する必要があります。