Mar*_*son 16 linux ubuntu alerts vmlinuz
我刚刚在我们拥有的少数 Ubuntu 机器之一上收到了一个我以前从未见过的网络警报:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
的校验和vmlinuz改变了。我从维基百科看到这与内核有关。
我应该关心它的校验和已经改变了吗?这个特定的服务器确实运行 Wordpress,它以其 3rd 方插件中的漏洞而闻名,所以我倾向于非常认真地对待它的警报。
我得出的结论是该服务器已被入侵。比抱歉更安全,/var/log/apache2/access.log0 字节也是如此,并且那里应该有一些(不多,但有点)数据,并且它显然看起来像是某种东西(最有可能是机器人)覆盖了他们的踪迹。是时候拿出昨晚的备份了:)
I see from Wikipedia that this has something to do with the kernel
这是轻描淡写:vmlinuz 文件是内核本身。这个文件在你启动服务器时被加载,然后它被解压缩(因此是“z”),然后启动。
如果您重新编译或安装了新内核,则无需担心。如果您没有这样做,请仔细查看此文件,或将其替换为已知好的版本。
将此文件chattr 设为只读,并在重新启动之前禁止 root 更改此文件也是一个好主意。
| 归档时间: |
|
| 查看次数: |
16038 次 |
| 最近记录: |