什么是vmlinuz，为什么我要关心？

在我们拥有的少数Ubuntu盒子之一上，我刚刚得到了一个我从未见过的网络警报：

The following monitoring trigger has been fired:

/vmlinuz has been changed on server XXXXX: PROBLEM
2012.09.19 06:24:33
Trigger key: vfs.file.cksum[/vmlinuz]
Value: 3397367448
Host: XXXXX

校验和已vmlinuz更改。我从Wikipedia看到，这与内核有关。

我是否应该担心其校验和已更改？该特定服务器确实运行Wordpress，该漏洞因其第三方插件中的漏洞而闻名，因此，我倾向于认真对待它。

我得出的结论是该服务器已受到威胁。比起遗憾，安全性要好得多，因为/var/log/apache2/access.log0字节是安全的，并且那里应该有一点（不是很多，但是只有一点）数据，而且显然看起来像是某种东西（最有可能是机器人）覆盖了他们的踪迹。该抽出昨晚备份的时间了：）

这是压缩的内核，您应该在不知情的情况下担心它是否曾经更改过，因为如果替换了内核，则可能会遭受任何攻击。这可能是合理的原因，但是除非您确定，否则您不应该信任更改后的内核。

它是不是有做与你的内核，它是你的内核。如果您重新启动，并且该文件已损坏，那么众所周知的狗屎会打败众所周知的粉丝。

消息中提到的时间您是否有内核更新？

I see from Wikipedia that this has something to do with the kernel

轻描淡写：vmlinuz文件是内核本身。引导服务器时将加载此文件，然后将其解压缩（因此为“ z”），然后启动。

如果您重新编译或安装了新内核，则无需担心。如果您没有执行此操作，则请仔细查看此文件，或将其替换为已知的好版本。

将此文件设置为只读，chattr 并禁止root更改它，直到重新引导后才是一个好主意。

那就是压缩的（因此称为“ z”）内核映像。在执行内核升级之前，它应该没有改变。

我猜您很明智地怀疑这可能是由于漏洞引起的，但是如您所知，这也可能是由于潜在的磁盘或fs问题引起的，在这种情况下，您应该会看到其他文件系统错误日志。无论哪种方式，都需要检查一下。