Re: eth0: Promiscuous mode enabled.
1. Die Log-Meldung besagt ja erstmal nur, dass zum angegebenen Zeitpunkt der Prom.Mode eingeschaltet wurde .. ob und wann er evtl. wieder abgeschalten wurde steht da nicht. 2. muss das kein rootkit sein .. kann ja auch manuell jemand gemacht haben. 3. Wenn Du sicher bist, dass das kein normaler Vorgang war (z.B. durch starten von tcpdump, iptraf, ethereal oder sonstigen tools), dann würde ich mir sorgen machen, dass da jemand auf meinem System ist, der da nicht hingehört. On Fri, 4 Feb 2005 16:42:12 +0100, Klaus Becker [EMAIL PROTECTED] wrote: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. ähnlich chkrootkit: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ifconfig -a | grep -i prom findet auch nichts. Wem soll ich nun glauben und was ist da zu tun? Klaus
Re: eth0: Promiscuous mode enabled.
Am Freitag, 4. Februar 2005 16:42 schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Eventuell zu der Zeit gebootet? Läuft laptop-network auf dem Gerät? Das schaltet IIRC den promiscouos mode ein, um zu erkennen, in welchem Netz es sich befindent. rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. Tja, dann wird der Mode wohl inzwischen wieder verlassens sein. Prüf einfach mal, wer/was um 16:09:36 Uhr deine Netzwerkkarte geöffnet haben könnte. Was ist denn davor/danach noch so passiert? -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet.
Re: eth0: Promiscuous mode enabled.
Hast Du snort laufen ? Am 2005-02-04 16:42:12, schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Klaus Am 2005-02-04 16:42:12, schrieb Klaus Becker: Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode Klaus Greetings Michelle
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:22:33, schrieb Klaus Becker: Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht :-) Bei mir rannte auch snort weshalb mir die Meldung bekannt vor kam :-) zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Das sind nur die Setings, mit denen snort gestartet wurde. Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:32, Michelle Konzack a écrit : Am 2005-02-04 19:22:33, schrieb Klaus Becker: Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : Hast Du snort laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht :-) Bei mir rannte auch snort weshalb mir die Meldung bekannt vor kam :-) zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Das sind nur die Setings, mit denen snort gestartet wurde. Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Klaus
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:47:16, schrieb Klaus Becker: Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Damit snort sinnvoll funktioniert, MUSS er das zu überwachende Interface in den Promiscuous mode schalten. Das kannste nur ändern, indem Du snort deaktivirst. Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 20:12, Michelle Konzack a écrit : Am 2005-02-04 19:47:16, schrieb Klaus Becker: Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Damit snort sinnvoll funktioniert, MUSS er das zu überwachende Interface in den Promiscuous mode schalten. Das kannste nur ändern, indem Du snort deaktivirst. Das ganze ist also normal, danke! Klaus
Re: eth0 promiscuous mode
El Jueves, 06 de Enero de 2005 22:37, amruiz escribió: hola, revisando kern.log me acabo de encontrar con esto, alguien sabe por que razones puede salir ese mensaje? Jan 4 00:04:11 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:37 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:37 localhost kernel: device eth0 entered promiscuous mode Jan 4 00:07:43 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:56 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:56 localhost kernel: device eth0 entered promiscuous mode Mmmm... tenés algun proceso que está poniendo a tu placa de red en 'modo promiscuo'... es decir, 'levanta' a tu PC todos las tramas ethernet de la red local, aunque no sean para tu PC (puedes buscar en google sobre sniffing). Software que hace esto para diagnóstico (y también con fines 'non-sanctos', como búsqueda de passwords) hay muchísimo, como ethereal, iptraf Es raro que tengas un software haciendo eso y tú no lo sepas, te recomiendo que chequees los programas corriendo en memoria a ver si hay alguno de estas características. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
RE: eth0 promiscuous mode
puede ser que tengas instalado el snort, ese programa esnifea la red buscando fallas de seguridad... -Mensaje original- De: Marcelo Fernandez [mailto:[EMAIL PROTECTED] Enviado el: Viernes, 07 de Enero de 2005 04:13 a.m. Para: debian-user-spanish@lists.debian.org Asunto: Re: eth0 promiscuous mode El Jueves, 06 de Enero de 2005 22:37, amruiz escribió: hola, revisando kern.log me acabo de encontrar con esto, alguien sabe por que razones puede salir ese mensaje? Jan 4 00:04:11 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:37 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:37 localhost kernel: device eth0 entered promiscuous mode Jan 4 00:07:43 localhost kernel: device eth0 left promiscuous mode Jan 4 00:07:56 localhost kernel: eth0: Promiscuous mode enabled. Jan 4 00:07:56 localhost kernel: device eth0 entered promiscuous mode Mmmm... tenés algun proceso que está poniendo a tu placa de red en 'modo promiscuo'... es decir, 'levanta' a tu PC todos las tramas ethernet de la red local, aunque no sean para tu PC (puedes buscar en google sobre sniffing). Software que hace esto para diagnóstico (y también con fines 'non-sanctos', como búsqueda de passwords) hay muchísimo, como ethereal, iptraf Es raro que tengas un software haciendo eso y tú no lo sepas, te recomiendo que chequees los programas corriendo en memoria a ver si hay alguno de estas características. Saludos Marcelo -- Marcelo F. Fernández Buenos Aires, Argentina Analista de Sistemas - CCNA E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
Re: eth0: promiscuous
On 20/11/99 Alberto Maurizi wrote: What does eth0: Setting promiscuous mode mean? And where to find information about? it means your NIC will not only perform at less then 1/10th the speed it used to. turn it off. and what everyone else has already said its for snooping on networks. Best Regards, Ethan Benson To obtain my PGP key: http://www.alaska.net/~erbenson/pgp/
Re: eth0: promiscuous
A long time ago, in a galaxy far, far way, someone said... What does eth0: Setting promiscuous mode mean? And where to find information about? During normal operation, all ethernet traffic on the local ethernet segment is seen by everyone on the segment. By default ethernet card discards any data packets (called frames) that aren't meant for it, based on the MAC address it was told to use and the MAC addresses in the header of each frame. When it gets a frame meant for it, it raises a hardware interrupt, at which time the operating system performs whatever it needs to do to get the information from the ethernet card. When in promiscuous mode, the ethernet card raises an interrupt at _every_ data packet that comes across the wire, and lets the operating system decide what to do with it. Very useful for stuff like packet sniffers. -- -- Phil Brutsche [EMAIL PROTECTED] There are two things that are infinite; Human stupidity and the universe. And I'm not sure about the universe. - Albert Einstein
RE: eth0: promiscuous
On 20-Nov-99 Alberto Maurizi wrote: What does eth0: Setting promiscuous mode mean? And where to find information about? Thanx Alberto Basically if the interface is set to promiscuous mode, the interface listens to all packets on the network instead of only those addressed to it. It is normally used for trouble shooting - some sniffer and tcpip monitoring utilities will put the interface into this mode. This mode can be set/reset with ifconfig. Try man ifconfig. -- Gary
Re: eth0: promiscuous
i dont know how to explain it fully it its a mode where the network card tries to listen to everything it can.. network analysis tools turn this on when they are running, turning this on may not have much effect if your on switched ethernet(if any) some network admins get mad if they see a machine sniffing packets. nate On Sat, 20 Nov 1999, Alberto Maurizi wrote: albert albert What does eth0: Setting promiscuous mode mean? albert And where to find information about? albert albert Thanx albert Alberto albert albert albert -- albert Unsubscribe? mail -s unsubscribe [EMAIL PROTECTED] /dev/null albert [mailto:[EMAIL PROTECTED] ]-- Vice President Network Operations http://www.firetrail.com/ Firetrail Internet Services Limited http://www.aphroland.org/ Everett, WA 425-348-7336http://www.linuxpowered.net/ Powered By:http://comedy.aphroland.org/ Debian 2.1 Linux 2.0.36 SMPhttp://yahoo.aphroland.org/ -[mailto:[EMAIL PROTECTED] ]-- 1:15pm up 93 days, 50 min, 2 users, load average: 1.91, 1.66, 1.63
