eth0: Promiscuous mode enabled.
Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. ähnlich chkrootkit: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ifconfig -a | grep -i prom findet auch nichts. Wem soll ich nun glauben und was ist da zu tun? Klaus
Re: eth0: Promiscuous mode enabled.
1. Die Log-Meldung besagt ja erstmal nur, dass zum angegebenen Zeitpunkt der Prom.Mode eingeschaltet wurde .. ob und wann er evtl. wieder abgeschalten wurde steht da nicht. 2. muss das kein rootkit sein .. kann ja auch manuell jemand gemacht haben. 3. Wenn Du sicher bist, dass das kein normaler Vorgang war (z.B. durch starten von tcpdump, iptraf, ethereal oder sonstigen tools), dann würde ich mir sorgen machen, dass da jemand auf meinem System ist, der da nicht hingehört. On Fri, 4 Feb 2005 16:42:12 +0100, Klaus Becker [EMAIL PROTECTED] wrote: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. ähnlich chkrootkit: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ifconfig -a | grep -i prom findet auch nichts. Wem soll ich nun glauben und was ist da zu tun? Klaus
Re: eth0: Promiscuous mode enabled.
Am Freitag, 4. Februar 2005 16:42 schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Eventuell zu der Zeit gebootet? Läuft laptop-network auf dem Gerät? Das schaltet IIRC den promiscouos mode ein, um zu erkennen, in welchem Netz es sich befindent. rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. Tja, dann wird der Mode wohl inzwischen wieder verlassens sein. Prüf einfach mal, wer/was um 16:09:36 Uhr deine Netzwerkkarte geöffnet haben könnte. Was ist denn davor/danach noch so passiert? -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet.
Re: eth0: Promiscuous mode enabled.
Hast Du snort laufen ? Am 2005-02-04 16:42:12, schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Klaus Am 2005-02-04 16:42:12, schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Klaus Greetings Michelle
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:22:33, schrieb Klaus Becker: Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht :-) Bei mir rannte auch snort weshalb mir die Meldung bekannt vor kam :-) zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Das sind nur die Setings, mit denen snort gestartet wurde. Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:32, Michelle Konzack a écrit : Am 2005-02-04 19:22:33, schrieb Klaus Becker: Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht :-) Bei mir rannte auch snort weshalb mir die Meldung bekannt vor kam :-) zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Das sind nur die Setings, mit denen snort gestartet wurde. Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Klaus
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:47:16, schrieb Klaus Becker: Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Damit snort sinnvoll funktioniert, MUSS er das zu überwachende Interface in den Promiscuous mode schalten. Das kannste nur ändern, indem Du snort deaktivirst. Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 20:12, Michelle Konzack a écrit : Am 2005-02-04 19:47:16, schrieb Klaus Becker: Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Damit snort sinnvoll funktioniert, MUSS er das zu überwachende Interface in den Promiscuous mode schalten. Das kannste nur ändern, indem Du snort deaktivirst. Das ganze ist also normal, danke! Klaus
Re: eth0 promiscuous mode
El Jueves, 06 de Enero de 2005 22:37, amruiz escribió: hola, revisando kern.log me acabo de encontrar con esto, alguien sabe por que razones puede salir ese mensaje? Jan 4 00:04:11 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:37 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:37 localhost kernel: device eth0 entered promiscuous mode Jan 4 00:07:43 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:56 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:56 localhost kernel: device eth0 entered promiscuous mode Mmmm... tenés algun proceso que está poniendo a tu placa de red en 'modo promiscuo'... es decir, 'levanta' a tu PC todos las tramas ethernet de la red local, aunque no sean para tu PC (puedes buscar en google sobre sniffing). Software que hace esto para diagnóstico (y también con fines 'non-sanctos', como búsqueda de passwords) hay muchísimo, como ethereal, iptraf Es raro que tengas un software haciendo eso y tú no lo sepas, te recomiendo que chequees los programas corriendo en memoria a ver si hay alguno de estas características. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
RE: eth0 promiscuous mode
puede ser que tengas instalado el snort, ese programa esnifea la red buscando fallas de seguridad... -Mensaje original- De: Marcelo Fernandez [mailto:[EMAIL PROTECTED] Enviado el: Viernes, 07 de Enero de 2005 04:13 a.m. Para: debian-user-spanish@lists.debian.org Asunto: Re: eth0 promiscuous mode El Jueves, 06 de Enero de 2005 22:37, amruiz escribió: hola, revisando kern.log me acabo de encontrar con esto, alguien sabe por que razones puede salir ese mensaje? Jan 4 00:04:11 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:37 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:37 localhost kernel: device eth0 entered promiscuous mode Jan 4 00:07:43 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:56 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:56 localhost kernel: device eth0 entered promiscuous mode Mmmm... tenés algun proceso que está poniendo a tu placa de red en 'modo promiscuo'... es decir, 'levanta' a tu PC todos las tramas ethernet de la red local, aunque no sean para tu PC (puedes buscar en google sobre sniffing). Software que hace esto para diagnóstico (y también con fines 'non-sanctos', como búsqueda de passwords) hay muchísimo, como ethereal, iptraf Es raro que tengas un software haciendo eso y tú no lo sepas, te recomiendo que chequees los programas corriendo en memoria a ver si hay alguno de estas características. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
eth0 promiscuous mode
hola, revisando kern.log me acabo de encontrar con esto, alguien sabe por que razones puede salir ese mensaje? Jan 4 00:04:11 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:37 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:37 localhost kernel: device eth0 entered promiscuous mode Jan 4 00:07:43 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:56 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:56 localhost kernel: device eth0 entered promiscuous mode
Eth0 promiscuous mode ??
When I boot my system in the boot sequence (after starting etho interface) I get a message; device eth0 entered promiscuous mode device eth0 left promiscuous mode And then these continue to trickle out.. Never saw this before on this machine, something wrong?? Thanks. Gregory Guthrie [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]