我刚刚在我们拥有的少数 Ubuntu 机器之一上收到了一个我以前从未见过的网络警报:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
的校验和vmlinuz改变了。我从维基百科看到这与内核有关。
我应该关心它的校验和已经改变了吗?这个特定的服务器确实运行 Wordpress,它以其 3rd 方插件中的漏洞而闻名,所以我倾向于非常认真地对待它的警报。
我得出的结论是该服务器已被入侵。比抱歉更安全,/var/log/apache2/access.log0 字节也是如此,并且那里应该有一些(不多,但有点)数据,并且它显然看起来像是某种东西(最有可能是机器人)覆盖了他们的踪迹。是时候拿出昨晚的备份了:)