Vmlinuz क्या है और मुझे क्यों परवाह है?

14

मुझे बस एक नेटवर्क अलर्ट मिला है जो मैंने पहले कभी नहीं देखा है, उन कुछ उबंटू बॉक्स में से एक जो हमारे पास हैं:

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

vmlinuzबदले का चेकसम । मैं विकिपीडिया से देखता हूं कि यह कर्नेल के साथ कुछ करना है।

क्या मुझे ध्यान रखना चाहिए कि इसका चेकसम बदल गया है? यह विशेष सर्वर Wordpress को चलाता है जो कि इसके 3rd पार्टी प्लगइन्स में कमजोरियों के लिए जाना जाता है, इसलिए मैं इससे गंभीरता से अलर्ट लेता हूं।

मैं निष्कर्ष निकाल रहा हूं कि इस सर्वर से समझौता किया गया है। सॉरी से बेहतर सुरक्षित है, जैसा /var/log/apache2/access.logकि 0 बाइट्स है, और वहां डेटा का एक सा (बहुत ज्यादा नहीं, लेकिन थोड़ा सा) होना चाहिए, और यह स्पष्ट रूप से कुछ (एक बॉट सबसे अधिक संभावना) जैसा दिखता है कि उनकी पटरियों को कवर किया जाए। पिछली रात बैकअप बाहर खींचने का समय :)

— मार्क हेंडरसन
स्रोत

उबंटू सिस्टम के /vmlinuzतहत एक कर्नेल के तहत एक प्रतीकात्मक होना चाहिए /boot/vmlinux-?.?.?-???, जब तक कि यह किसी प्रकार का होस्टेड वीएम नहीं है।

— ज़ॉडेचेस

@Zoredache - हाँ,lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae

— मार्क हेंडरसन

11

यह संपीड़ित कर्नेल है और आपको परवाह करनी चाहिए कि क्या यह कभी आपके बारे में जाने बिना बदल गया, क्योंकि यदि कर्नेल को बदल दिया गया था, तो आप किसी भी हमले के लिए खुले हो सकते हैं। यह एक वैध कारण हो सकता है, लेकिन जब तक आप सुनिश्चित नहीं होते हैं, आपको बदले हुए कर्नेल पर भरोसा नहीं करना चाहिए।

— johnshen64
स्रोत

5

यह कुछ करने के लिए है कि नहीं है के साथ अपने गिरी, यह है आपकी गिरी। यदि आप रिबूट करते हैं, और वह फ़ाइल भ्रष्ट है, तो लौकिक गंदगी लौकिक प्रशंसक को हिट करने वाली है।

क्या आपके पास संदेश में उल्लिखित समय पर एक कर्नेल अपडेट है?

— wzzrd
स्रोत

ओके कतार अगले डंबास सवाल (मैं 99% विंडोज मशीनों से निपटता हूं), मैं कर्नेल अपडेट के लिए कैसे जांच कर सकता हूं? यह सर्वर लगभग कभी भी लॉगिन नहीं हुआ है, इसलिए मुझे बहुत संदेह है कि कुछ भी मैन्युअल रूप से ट्रिगर किया गया था।

— मार्क हेंडरसन

जाँच करें कि क्या कोई कर्नेल को अपग्रेड करने के लिए कल लॉग इन किया था: अंतिम -i और इतिहास (apt-get / aptitude अपडेट और अपग्रेड के लिए देखें)। जांचें कि क्या कुछ स्वचालित अपडेट चालू हैं (iirc ubuntu के पास कुछ help.ubuntu.com/community/AutomaticSecurityUpdates ) है।

@ मार्खेंडरसन ने '' स्टेट / वैम्लिनुज '' के साथ तारीखों की पहुँच, संशोधन और बदलाव की जाँच की। आपको शायद '' /var/log/dpkg.log '' में अपडेट देखने में सक्षम होना चाहिए। हालांकि, अगर स्वचालित अपडेट के लिए मशीन को कॉन्फ़िगर नहीं किया गया है, तो यह बहुत कम दिखाना चाहिए।

— वॉजड्रॉप

क्रोन नौकरियों की भी जांच करें, कुछ पैकेज प्रबंधक क्रोन के माध्यम से स्वचालित रूप से अपडेट करेंगे।

5

I see from Wikipedia that this has something to do with the kernel

यह एक समझ है: vmlinuz फ़ाइल कर्नेल ही है। यह वह फाइल है जो आपके सर्वर को बूट करने पर लोड हो जाती है, तो यह असम्पीडित हो जाती है (इसलिए 'z'), और फिर शुरू हो जाती है।

यदि आपने नए कर्नेल को पुन: स्थापित या स्थापित किया है तो चिंता की कोई बात नहीं है। यदि आपने ऐसा कुछ नहीं किया है, तो इस फ़ाइल को करीब से देखें, या इसे एक अच्छे संस्करण के साथ बदलें।

इस फाइल को केवल chattr तब तक पढ़ने के लिए और जब तक कि एक रिबूट के बाद भी एक अच्छा विचार नहीं है, तब तक इसे जड़ से उखाड़ फेंकना।

— Hennes
स्रोत

3

यह संपीड़ित है (इसलिए "z") कर्नेल छवि। आपको कर्नेल अपग्रेड करते हुए इसे छोटा नहीं बदलना चाहिए था।

मुझे लगता है कि आप अपने संदेह में बुद्धिमान हैं कि यह एक भेद्यता के कारण हो सकता है, लेकिन जैसा कि आप जानते हैं, यह अंतर्निहित डिस्क या एफएस मुद्दों के कारण भी हो सकता है, जिस स्थिति में आपको अन्य फ़ाइल सिस्टम त्रुटि लॉग देखना चाहिए। किसी भी तरह से, यह जाँच करने के लिए कुछ है।

— EEAA
स्रोत