Saya baru saja mendapat peringatan jaringan yang belum pernah saya lihat sebelumnya, di salah satu dari beberapa kotak Ubuntu yang kami miliki:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Checksum dari vmlinuz
diubah. Saya melihat dari Wikipedia bahwa ini ada hubungannya dengan kernel.
Haruskah saya peduli bahwa checksumnya telah berubah? Server khusus ini menjalankan Wordpress yang dikenal dengan kerentanan di plugin pihak ke-3, jadi saya cenderung menerima peringatan darinya dengan cukup serius.
Saya membuat kesimpulan bahwa server ini telah dikompromikan. Lebih baik aman daripada menyesal, seperti /var/log/apache2/access.log
0 byte, dan harus ada sedikit (tidak banyak, tetapi sedikit) data di sana, dan itu jelas terlihat seperti sesuatu (bot yang paling mungkin) menutupi jejak mereka. Waktu untuk menarik cadangan malam terakhir :)
lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
/vmlinuz
harus menjadi simbol untuk kernel di bawah/boot/vmlinux-?.?.?-???
, kecuali jika ini adalah semacam VM yang di-host.