Acabei de receber um alerta de rede que nunca vi antes, em uma das poucas caixas do Ubuntu que temos:
The following monitoring trigger has been fired:
/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX
A soma de verificação de vmlinuz foi alterada. Eu vejo de Wikipedia que isso tem algo a ver com o kernel.
Devo me importar se a soma de verificação mudou? Esse servidor em particular executa o Wordpress, que é conhecido por vulnerabilidades em seus plugins de terceiros, então eu levo alertas muito a sério.
Estou fazendo a conclusão de que esse servidor foi comprometido. É melhor prevenir do que remediar, já que /var/log/apache2/access.log é 0 bytes, e deve haver um pouco (não muito, mas um pouco) de dados lá, e claramente parece algo (um bot muito provável) cobrindo seus rastros. Hora de retirar o último backup da noite:)
Este é o kernel comprimido e você deve se preocupar se ele nunca mudou sem que você saiba, porque se o kernel fosse substituído, você poderia estar aberto a qualquer ataque. Pode ter sido um motivo legítimo, mas, a menos que você tenha certeza, não deve confiar no kernel alterado.
Não é algo que tenha que fazer com seu kernel, é seu kernel. Se você reiniciar, e esse arquivo estiver corrompido, a merda proverbial vai atingir o proverbial fã.
Você teve uma atualização do kernel no momento mencionado na mensagem?
I see from Wikipedia that this has something to do with the kernel
Isso é um eufemismo: O arquivo vmlinuz é o próprio kernel. É este arquivo que é carregado quando você inicializa o seu servidor, depois é descompactado (daí o 'z') e então iniciado.
Se você recompilar ou instalar um novo kernel, então não há nada para se preocupar. Se você não fez isso, olhe atentamente para este arquivo, ou substitua-o por uma boa versão.
Tornar este arquivo de somente leitura com chattr e não permitir que o root altere isso até que uma reinicialização também seja uma boa ideia.
Essa é a imagem do kernel compactada (daí o "z"). Não deveria ter mudado antes de você executar uma atualização do kernel.
Eu acho que você é sábio em sua suspeita de que isso pode ser devido a uma vulnerabilidade, mas como você sabe, também pode ser devido a problemas de disco ou fs subjacentes, caso em que você deve estar vendo outro sistema de arquivos logs de erro. De qualquer forma, é algo para se verificar.