Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 20:12, Michelle Konzack a écrit : > Am 2005-02-04 19:47:16, schrieb Klaus Becker: > > Da bin ich ja beruhigt. Und was sagst du zu der Meldung > > eth0: Promiscuous mode enabled? > > > > Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho > > ändern kann. > > Damit "snort" sinnvoll funktioniert, MUSS er das zu überwachende > Interface in den "Promiscuous mode" schalten. > > Das kannste nur ändern, indem Du "snort" deaktivirst. Das ganze ist also normal, danke! Klaus
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:47:16, schrieb Klaus Becker: > Da bin ich ja beruhigt. Und was sagst du zu der Meldung > eth0: Promiscuous mode enabled? > > Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho > ändern kann. Damit "snort" sinnvoll funktioniert, MUSS er das zu überwachende Interface in den "Promiscuous mode" schalten. Das kannste nur ändern, indem Du "snort" deaktivirst. > Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:32, Michelle Konzack a écrit : > Am 2005-02-04 19:22:33, schrieb Klaus Becker: > > Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : > > > Hast Du "snort" laufen ? > > > > Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber > > nicht > > > :-) > > Bei mir rannte auch "snort" weshalb mir die Meldung bekannt vor kam :-) > > > zu interpretieren weiss. Z. B.: > > > > Feb 2 16:09:36 snort: Only inspect URI: NO > > Feb 2 16:09:36 snort: Ascii: YES alert: NO > > Feb 2 16:09:36 snort: Double Decoding: YES alert: YES > > Feb 2 16:09:36 snort: %U Encoding: YES alert: YES > > Feb 2 16:09:36 snort: Bare Byte: YES alert: YES > > Das sind nur die Setings, mit denen "snort" gestartet wurde. Da bin ich ja beruhigt. Und was sagst du zu der Meldung eth0: Promiscuous mode enabled? Bis jetzt hat mir noch niemand gesagt, ob ich den modus von etho ändern kann. Klaus
Re: eth0: Promiscuous mode enabled.
Am 2005-02-04 19:22:33, schrieb Klaus Becker: > Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : > > Hast Du "snort" laufen ? > > Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht :-) Bei mir rannte auch "snort" weshalb mir die Meldung bekannt vor kam :-) > zu interpretieren weiss. Z. B.: > > Feb 2 16:09:36 snort: Only inspect URI: NO > Feb 2 16:09:36 snort: Ascii: YES alert: NO > Feb 2 16:09:36 snort: Double Decoding: YES alert: YES > Feb 2 16:09:36 snort: %U Encoding: YES alert: YES > Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Das sind nur die Setings, mit denen "snort" gestartet wurde. > Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Le Vendredi 4 Février 2005 19:14, Michelle Konzack a écrit : > Hast Du "snort" laufen ? Ja, und in /var/log/daemon.log finde ich snort-Meldungen, die ich aber nicht zu interpretieren weiss. Z. B.: Feb 2 16:09:36 snort: Only inspect URI: NO Feb 2 16:09:36 snort: Ascii: YES alert: NO Feb 2 16:09:36 snort: Double Decoding: YES alert: YES Feb 2 16:09:36 snort: %U Encoding: YES alert: YES Feb 2 16:09:36 snort: Bare Byte: YES alert: YES Klaus > > Am 2005-02-04 16:42:12, schrieb Klaus Becker: > > Hallo Liste, > > > > beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin > > ich auf folgende Meldungen gestossen: > > > > # grep -i prom /var/log/* > > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode > > enabled. > > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered > > promiscuous mode > > > > Klaus > > Greetings > Michelle
Re: eth0: Promiscuous mode enabled.
Hast Du "snort" laufen ? Am 2005-02-04 16:42:12, schrieb Klaus Becker: > Hallo Liste, > > beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich > auf folgende Meldungen gestossen: > > # grep -i prom /var/log/* > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode > enabled. > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered > promiscuous mode > Klaus Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: eth0: Promiscuous mode enabled.
Am Freitag, 4. Februar 2005 16:42 schrieb Klaus Becker: > Hallo Liste, > > beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, > bin ich auf folgende Meldungen gestossen: > > # grep -i prom /var/log/* > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous > mode enabled. > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered > promiscuous mode Eventuell zu der Zeit gebootet? Läuft laptop-network auf dem Gerät? Das schaltet IIRC den promiscouos mode ein, um zu erkennen, in welchem Netz es sich befindent. > rkhunter sagt allerdings: > * Interfaces Scanning for promiscuous interfaces [ OK ] > und findet auch sonst nichts zu beanstanden. Tja, dann wird der Mode wohl inzwischen wieder verlassens sein. Prüf einfach mal, wer/was um 16:09:36 Uhr deine Netzwerkkarte geöffnet haben könnte. Was ist denn davor/danach noch so passiert? -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet.
Re: eth0: Promiscuous mode enabled.
1. Die Log-Meldung besagt ja erstmal nur, dass zum angegebenen Zeitpunkt der Prom.Mode eingeschaltet wurde .. ob und wann er evtl. wieder abgeschalten wurde steht da nicht. 2. muss das kein rootkit sein .. kann ja auch "manuell" jemand gemacht haben. 3. Wenn Du sicher bist, dass das kein normaler Vorgang war (z.B. durch starten von tcpdump, iptraf, ethereal oder sonstigen tools), dann würde ich mir sorgen machen, dass da jemand auf meinem System ist, der da nicht hingehört. On Fri, 4 Feb 2005 16:42:12 +0100, Klaus Becker <[EMAIL PROTECTED]> wrote: > Hallo Liste, > > beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich > auf folgende Meldungen gestossen: > > # grep -i prom /var/log/* > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode > enabled. > /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered > promiscuous mode > > rkhunter sagt allerdings: > * Interfaces Scanning for promiscuous interfaces [ OK ] > und findet auch sonst nichts zu beanstanden. > > ähnlich chkrootkit: > Checking `sniffer'... lo: not promisc and no packet sniffer sockets > > ifconfig -a | grep -i prom findet auch nichts. > > Wem soll ich nun glauben und was ist da zu tun? > > Klaus > >
eth0: Promiscuous mode enabled.
Hallo Liste, beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich auf folgende Meldungen gestossen: # grep -i prom /var/log/* /var/log/kern.log:Feb 2 16:09:36 koeln kernel: eth0: Promiscuous mode enabled. /var/log/kern.log:Feb 2 16:09:36 koeln kernel: device eth0 entered promiscuous mode rkhunter sagt allerdings: * Interfaces Scanning for promiscuous interfaces [ OK ] und findet auch sonst nichts zu beanstanden. ähnlich chkrootkit: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ifconfig -a | grep -i prom findet auch nichts. Wem soll ich nun glauben und was ist da zu tun? Klaus
