Щойно я отримав попередження про мережу, якого я ніколи не бачив, про одну з небагатьох скриньок Ubuntu, які ми маємо:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
Контрольна сума vmlinuz
змінена. Я бачу з Вікіпедії, що це має щось спільне з ядром.
Чи повинен мені хвилюватися, що контрольна сума змінилася? Цей конкретний сервер запускає Wordpress, який відомий вразливістю у своїх сторонніх плагінах, тому я схильний сприймати сповіщення від нього досить серйозно.
Я роблю висновок, що цей сервер був порушений. Краще безпечніше, ніж вибачте, як /var/log/apache2/access.log
і 0 байтів, і там має бути трохи (не багато, але трохи) даних, і це чітко схоже на те, що щось (бот, швидше за все) покриває їх доріжки. Час витягнути резервну копію минулої ночі :)
lrwxrwxrwx 1 root root 34 Sep 18 19:52 /vmlinuz -> boot/vmlinuz-2.6.32-43-generic-pae
/vmlinuz
повинно бути символічним ядро під/boot/vmlinux-?.?.?-???
, якщо тільки це не якась розміщена VM.