Por que o modo promíscuo é definido automaticamente - e eu deveria estar preocupado?

3

Nosso servidor web de hospedagem geral (LAMP com Parallels Plesk) começou a transformar PROMISCUOUS mode ON on eth0 "por si mesmo".

Percebi a mudança na configuração em 2013-11-08 quando rkhunter nos alertou sobre "Possíveis interfaces promíscuas", o que não havia acontecido antes. Depois de pesquisar um pouco, não encontrei nenhum caso de uso real para o modo promíscuo em nosso servidor, então o desativei usando # ifconfig eth0 -promisc apenas para descobrir que um dia depois o sinalizador foi reajustado.

Veja o que os registros do kernel dizem:

Nov  8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET)
Nov  8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
Nov 11 08:34:18 hallinta kernel: [3537242.374911] device eth0 left promiscuous mode
Nov 12 07:46:30 hallinta kernel: [3620559.485388] device eth0 entered promiscuous mode
Nov 13 08:47:36 hallinta kernel: [3710393.877512] device eth0 left promiscuous mode
Nov 14 07:53:49 hallinta kernel: [3793353.202243] device eth0 entered promiscuous mode
Nov 14 09:16:03 hallinta kernel: [3798274.154435] device eth0 left promiscuous mode

Eu incluí a mensagem klogd1 devido ao seu registro de data e hora imediato. Nos registros de autenticação, não vi nenhuma atividade suspeita em torno da primeira mensagem "modo promíscuo inserido".

Como os timestamps das duas entradas são mais ou menos semelhantes, verifiquei se eu tinha algum cron trabalhando por aí. A maioria dos trabalhos diários (eu procurei com esta ferramenta ) são executados às 06:25 da última e o próximo trabalho é executado às 08: 00 Nenhum desses trabalhos 06:25 continha as palavras ifconfig ou promisc .

O que poderia configurar o modo promíscuo em em eth0 interfaces e eu deveria estar preocupado? (Eu sou, mas devo ser?) Existe alguma razão legítima que o modo promíscuo deve ser definido?

    
por Jari Keinänen 14.11.2013 / 08:53

2 respostas

2

Se vnstat é o processo colocando a interface no modo promíscuo, verifique seus arquivos de log e veja se ele está registrado (depende do registro de verbosidade, é claro). Se não houver motivo para monitorar o tráfego, basta desativá-lo e ver como funciona.

Eu suspeito que o modo promíscuo esteja ativado enquanto rkhunter estiver em execução, para que rkhunter o detecte.

O que é muito estranho, é isso:

Nov  8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET)
Nov  8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode

AFAIK não existe tal coisa como klogd1 (existe um klogd claro), e não deveria haver um. Reserve um tempo para verificar se existe um binário sob esse nome e se há um processo klogd1 (se sim, encontre o que está fazendo). Se vnstat não estiver fazendo isso, há uma grande chance de que sua máquina tenha sido comprometida.

    
por 15.11.2013 / 15:24
6

Alguém provavelmente está executando um sniffer de pacotes, tcpdump, wireshark, etc. Veja por último para ver quem estava efetuando login. Verifique novamente o log de sudoers se você tiver configurado.

    
por 14.11.2013 / 08:55