¿Qué es vmlinuz y por qué me importa?

14

Acabo de recibir una alerta de red que nunca había visto antes, en uno de los pocos cuadros de Ubuntu que tenemos:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

La suma de comprobación de vmlinuzcambiado. Veo en Wikipedia que esto tiene algo que ver con el núcleo.

¿Debería importarme que su suma de control haya cambiado? Este servidor en particular ejecuta Wordpress, que es conocido por las vulnerabilidades en sus complementos de terceros, por lo que tiendo a tomar las alertas bastante en serio.


Estoy llegando a la conclusión de que este servidor ha sido comprometido. Es mejor prevenir que curar, ya que /var/log/apache2/access.logson 0 bytes, y debería haber un poco (no mucho, pero un poco) de datos allí, y claramente parece algo (un robot muy probablemente) cubriendo sus pistas. Es hora de sacar el respaldo de las últimas noches :)

Mark Henderson
fuente
En Ubuntu, los sistemas /vmlinuzdeben ser simbólicos para un kernel debajo /boot/vmlinux-?.?.?-???, a menos que se trate de algún tipo de VM alojada.
Zoredache
@Zoredache - sí,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
Mark Henderson

Respuestas:

11

Este es el kernel comprimido y debe preocuparse si alguna vez cambió sin saberlo, porque si el kernel fue reemplazado, podría estar abierto a cualquier ataque. Puede haber sido una razón legítima, pero a menos que esté seguro, no debe confiar en el kernel modificado.

johnshen64
fuente
5

No es algo que tenga que ver con su núcleo, es su núcleo. Si reinicia, y ese archivo está dañado, la mierda proverbial golpeará al ventilador proverbial.

¿Tuviste una actualización del kernel en el momento mencionado en el mensaje?

wzzrd
fuente
Ok, haga cola en la siguiente pregunta tonta (trato con máquinas con 99% de Windows), ¿cómo puedo verificar si hay una actualización del núcleo? Este servidor casi nunca inicia sesión, por lo que dudo mucho que algo se haya activado manualmente.
Mark Henderson
compruebe si alguien inició sesión ayer para actualizar el kernel: last -i e history (busque apt-get / aptitude update and upgrade). Verifique si hay algunas actualizaciones automáticas activadas (iirc ubuntu tiene alguna help.ubuntu.com/community/AutomaticSecurityUpdates ).
@MarkHenderson Verifique el acceso, modifique y cambie las fechas con '' stat / vmlinuz ''. Probablemente debería poder ver las actualizaciones en '' /var/log/dpkg.log ''. Sin embargo, si la máquina no está configurada para actualizaciones automáticas, eso debería mostrar muy poco.
wzzrd
Compruebe también los trabajos cron, algunos administradores de paquetes realizarán actualizaciones automáticamente a través de cron.
5

I see from Wikipedia that this has something to do with the kernel

Eso es un eufemismo: el archivo vmlinuz es el núcleo mismo. Es este archivo el que se carga cuando se inicia el servidor, luego se descomprime (de ahí la 'z') y luego se inicia.

Si recompiló o instaló un nuevo núcleo, entonces no hay nada de qué preocuparse. Si no hizo tal cosa, mire atentamente este archivo o reemplácelo con una buena versión.

chattr También es una buena idea hacer que este archivo sea de solo lectura y no permitir que la raíz cambie esto hasta después de un reinicio.

Hennes
fuente
3

Esa es la imagen del núcleo comprimido (de ahí la "z"). No debería haber cambiado antes de realizar una actualización del kernel.

Supongo que es sabio al sospechar que esto puede deberse a una vulnerabilidad, pero como sabe, también podría deberse a problemas subyacentes del disco o fs, en cuyo caso debería ver otros registros de errores del sistema de archivos. De cualquier manera, es algo para verificar.

EEAA
fuente