Was ist vmlinuz und warum interessiert es mich?

14

Ich habe gerade eine Netzwerkwarnung erhalten, die ich noch nie zuvor gesehen habe, und zwar auf einer der wenigen Ubuntu-Boxen, die wir haben:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

Die Checksumme hat sich vmlinuzgeändert. Ich sehe aus Wikipedia, dass dies etwas mit dem Kernel zu tun hat.

Sollte es mich interessieren, dass sich die Prüfsumme geändert hat? Auf diesem speziellen Server wird Wordpress ausgeführt, das für Schwachstellen in Plug-ins von Drittanbietern bekannt ist. Daher nehme ich Warnungen von diesem Server eher ernst.

Ich komme zu dem Schluss, dass dieser Server kompromittiert wurde. Besser sicher als traurig, da /var/log/apache2/access.loges sich um 0 Bytes handelt und ein bisschen (nicht viel, aber ein bisschen) Daten darin sein sollten, und es sieht eindeutig so aus, als würde ein Bot (höchstwahrscheinlich) ihre Spuren überdecken. Es ist Zeit, die letzte Nacht ein Backup zu ziehen :)

linux ubuntu alerts vmlinuz Mark Henderson
quelle
Auf Ubuntu-Systemen /vmlinuzsollte ein Kernel unter Symbol sein /boot/vmlinux-?.?.?-???, es sei denn, es handelt sich um eine Art gehostete VM.
Zoredache
@ Zoredache - ja,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Antworten:

11

Dies ist der komprimierte Kernel, und es sollte Sie interessieren, ob er sich jemals geändert hat, ohne dass Sie davon erfahren. Wenn der Kernel ersetzt würde, könnten Sie für jeden Angriff offen sein. Es mag ein legitimer Grund gewesen sein, aber wenn Sie nicht sicher sind, sollten Sie dem geänderten Kernel nicht vertrauen.

johnshen64
quelle
5

Es hat nichts mit deinem Kernel zu tun , es ist dein Kernel. Wenn Sie neu starten und diese Datei beschädigt ist, wird der sprichwörtliche Scheiß den sprichwörtlichen Fan treffen.

Hatten Sie zu dem in der Nachricht angegebenen Zeitpunkt ein Kernel-Update?

wzzrd
quelle
Ok, stell die nächste dumme Frage in die Warteschlange (ich beschäftige mich mit 99% Windows-Computern), wie kann ich nach einem Kernel-Update suchen? Dieser Server ist so gut wie nie angemeldet, daher bezweifle ich, dass etwas manuell ausgelöst wurde.
Mark Henderson
Überprüfen Sie, ob sich gestern jemand angemeldet hat, um den Kernel zu aktualisieren: last -i und history (suchen Sie nach apt-get / aptitude update und upgrade). Überprüfen Sie, ob einige automatische Updates aktiviert sind (iirc ubuntu hat einige help.ubuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson Mit '' stat / vmlinuz '' den Zugang überprüfen, Daten ändern und ändern. Sie sollten wahrscheinlich in der Lage sein, Updates in '' /var/log/dpkg.log '' zu sehen. Wenn der Computer jedoch nicht für automatische Updates konfiguriert ist, sollte dies nur sehr wenig anzeigen.
Wzzrd
Überprüfen Sie auch die Cron-Jobs. Einige Paketmanager führen Updates automatisch über Cron durch.
5

I see from Wikipedia that this has something to do with the kernel

Das ist eine Untertreibung: Die vmlinuz-Datei ist der Kernel selbst. Diese Datei wird beim Booten des Servers geladen, dann dekomprimiert (daher das 'z') und dann gestartet.

Wenn Sie einen neuen Kernel kompiliert oder installiert haben, besteht kein Grund zur Sorge. Wenn Sie dies nicht getan haben, schauen Sie sich diese Datei genau an oder ersetzen Sie sie durch eine gute Version.

Es chattr ist auch eine gute Idee, diese Datei mit root schreibgeschützt zu machen und zu verbieten, dies bis nach einem Neustart zu ändern.

Hennes
quelle
3

Das ist das komprimierte (daher das "z") Kernel-Image. Es sollte sich nicht geändert haben, bevor Sie ein Kernel-Upgrade durchgeführt haben.

Ich nehme an, Sie sind sich sicher, dass dies auf eine Sicherheitsanfälligkeit zurückzuführen ist. Wie Sie jedoch wissen, kann dies auch an zugrunde liegenden Datenträger- oder Dateisystemproblemen liegen. In diesem Fall sollten andere Dateisystemfehlerprotokolle angezeigt werden. So oder so, es ist etwas zu überprüfen.

EEAA
quelle