방금 전에 본 적이없는 몇 가지 우분투 상자 중 하나에서 네트워크 알림을 받았습니다.
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
체크섬이 vmlinuz변경되었습니다. 나는 Wikipedia 에서 이것이 커널과 관련이 있음을 알았습니다 .
체크섬이 변경되었는지주의해야합니까? 이 특정 서버는 타사 플러그인의 취약점으로 알려진 WordPress를 실행하므로 꽤 심각하게 경고하는 경향이 있습니다.
이 서버가 손상되었다는 결론을 내 렸습니다. /var/log/apache2/access.log0 바이트와 마찬가지로 죄송합니다 . 지난 밤 백업을 꺼내는 시간 🙂
답변
이것은 압축 된 커널이므로 커널을 교체 한 경우 어떤 공격에도 노출 될 수 있기 때문에 알지 못하고 변경 한 경우주의를 기울여야합니다. 합법적 인 이유 일 수도 있지만 확실하지 않으면 변경된 커널을 신뢰해서는 안됩니다.
답변
그것은 상관이있는 것이 아닙니다 와 커널, 그것은 이다 커널. 재부팅하면 해당 파일이 손상되면 속담이 속담 팬을 때리게됩니다.
메시지에 언급 된 시점에서 커널 업데이트가 있었습니까?
답변
I see from Wikipedia that this has something to do with the kernel
vmlinuz 파일은 커널 자체입니다. 이 파일은 서버를 부팅 할 때로드 된 다음 압축되지 않은 (따라서 ‘z’) 시작된 다음 시작됩니다.
새로운 커널을 다시 컴파일하거나 설치했다면 걱정할 것이 없습니다. 이러한 작업을 수행하지 않은 경우이 파일을 자세히 보거나 올바른 버전으로 바꾸십시오.
chattr 재부팅 후까지 루트 가이 파일을 읽기 전용으로 설정 하고 루트가이를 변경하지 못하도록하는 것도 좋은 생각입니다.
답변
압축 된 (따라서 “z”) 커널 이미지입니다. 커널 업그레이드를 수행하는 것보다 짧게 변경해서는 안됩니다.
나는 이것이 취약점으로 인한 것일 수 있다고 의심하는 것이 현명하다고 생각하지만 기본 디스크 또는 fs 문제로 인한 것일 수도 있습니다.이 경우 다른 파일 시스템 오류 로그가 표시되어야합니다. 어느 쪽이든, 그것은 확인해야 할 것입니다.