vmlinuzとは何ですか、なぜ気にするのですか？

私たちが持っているいくつかのUbuntuボックスの1つで、今まで見たことのないネットワークアラートを受け取りました。

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

vmlinuz変更されたチェックサム。ウィキペディアから、これはカーネルと関係があることがわかります。

チェックサムが変更されたことに注意する必要がありますか？この特定のサーバーは、サードパーティのプラグインの脆弱性で知られているWordpressを実行しているため、アラートを非常に真剣に受けとめる傾向があります。

このサーバーが危険にさらされているという結論を下しています。/var/log/apache2/access.log0バイトのように、申し訳ありませんが安全です。そこには少し（多くではなく、少し）のデータが含まれているはずで、明らかにトラックを覆っている何か（おそらくボット）のように見えます。昨晩のバックアップを引き出す時間:)

これは圧縮されたカーネルであり、知らないうちに変更された場合は注意が必要です。カーネルが置き換えられた場合、あらゆる攻撃にさらされる可能性があるためです。これは正当な理由だったかもしれませんが、確信がない限り、変更されたカーネルを信頼すべきではありません。

これは、関係しているものではありませんし、それは、あなたのカーネルであるカーネル。再起動し、そのファイルが破損している場合、ことわざがたわごとファンを襲います。

メッセージに記載されている時点でカーネルの更新はありましたか？

I see from Wikipedia that this has something to do with the kernel

控えめに言って、vmlinuzファイルはカーネルそのものです。サーバーの起動時にロードされるのはこのファイルで、それから圧縮解除され（したがって「z」）、開始されます。

新しいカーネルを再コンパイルまたはインストールした場合、心配する必要はありません。そのようなことをしなかった場合は、このファイルをよく見るか、適切なバージョンに置き換えてください。

このファイルをchattr 再起動後まで読み取り専用にし、rootがこれを変更できないようにすることも良い考えです。

それが圧縮された（つまり "z"）カーネルイメージです。カーネルのアップグレードを実行する前に変更されていないはずです。

これは脆弱性が原因である可能性があるという疑いがあると思いますが、ご存知のように、ディスクまたはfsの根本的な問題が原因である可能性もあります。この場合、他のファイルシステムエラーログが表示されるはずです。どちらにしても、チェックインするものです。