Re: Re: PACKET SNIFFER(/sbin/dhclient[2302])
||-|| || Cuando: Sat, May 01, 2004 at 12:40:21PM +0200 || || Quién: javi || || Què: Re: Re: PACKET SNIFFER(/sbin/dhclient[2302]) ||-|| [...] Si es preocupante, y que medidas debería adoptar en su caso. Revisa los checksums el paquete dhclient y si esta todo en orden, entonces esta todo en orden. Igual y el mismo chkrootkit puede hacer eso (lee sus docs) o compara el archivo ejecutable con el de alguna otra maquina que tenga la misma version, arquitectura y de la que estes seguro. Si no usas IP dinamica en esa maquina (puras estaticas) vuela el dhcpclient, para que no coma recursos (no son tantos, en realidad) y no haga enojar a tu amigo chkrootkit. El chkrootkit te esta diciendo que la interfaz esta en modo promiscuo...escuchando todo . Y eso es porque el jodido dhcpclient en vez de escuchar el broadcast lo oye todo. No es preocupante , pero podria ser molesto si quieres arrancar un programa que necesite escucharlo todo.Salu2. Gracias por contestar. La salida de #debsums dhcp-client parece correcta: usr/share/man/man5/dhclient.conf.5.gz OK usr/share/man/man5/dhclient.leases.5.gz OK usr/share/man/man5/dhcp-options-dhclient.5.gz OK usr/share/man/man8/dhclient.8.gzOK usr/share/man/man8/dhclient-script.8.gz OK usr/share/doc/dhcp-client/CHANGES OK usr/share/doc/dhcp-client/changelog.Debian.gz OK usr/share/doc/dhcp-client/doc/rfcindex.html OK usr/share/doc/dhcp-client/dhcp-on-linux.txt OK usr/share/doc/dhcp-client/copyright OK usr/share/doc/dhcp-client/README.gz OK usr/share/doc/dhcp-client/RELNOTES.gz OK sbin/dhclient OK Por otra parte, en la documentación de chkrootkit se menciona en lo que a detección de sniffers se refiere que paquetes como: snort, ethereal y otros pueden dar falsos positivos. Espero que todo quede en eso, un falso positivo. Gracias de nuevo y un saludo. Javi. -- 2.6.5 #10 Sat May 1 14:20:47 WEST 2004 i686 THANKS FOR YOUR TIME ___ /\ \ \_| En febrero, sale la lagartija del agujero. | | | | __|_ \_// . .|. \ | / '. \ ' / .' '. .'```'. .' .:::`...`::: : : : Luis Toro Teijeiro : : : :SysAdmin and Consulting. : :http://jaya.dyndns.org: :linuxx at jaya dot dyndns dot org : : : : Windows : Where do you want to go today?. : : MacOS : Where do you want to be tomorrow?.: : Linux : Are you coming, or what?. : : : :..:
Re: Re: PACKET SNIFFER(/sbin/dhclient[2302])
[...] Si es preocupante, y que medidas debería adoptar en su caso. Revisa los checksums el paquete dhclient y si esta todo en orden, entonces esta todo en orden. Igual y el mismo chkrootkit puede hacer eso (lee sus docs) o compara el archivo ejecutable con el de alguna otra maquina que tenga la misma version, arquitectura y de la que estes seguro. Si no usas IP dinamica en esa maquina (puras estaticas) vuela el dhcpclient, para que no coma recursos (no son tantos, en realidad) y no haga enojar a tu amigo chkrootkit. Gracias por contestar. La salida de #debsums dhcp-client parece correcta: usr/share/man/man5/dhclient.conf.5.gz OK usr/share/man/man5/dhclient.leases.5.gz OK usr/share/man/man5/dhcp-options-dhclient.5.gz OK usr/share/man/man8/dhclient.8.gzOK usr/share/man/man8/dhclient-script.8.gz OK usr/share/doc/dhcp-client/CHANGES OK usr/share/doc/dhcp-client/changelog.Debian.gz OK usr/share/doc/dhcp-client/doc/rfcindex.html OK usr/share/doc/dhcp-client/dhcp-on-linux.txt OK usr/share/doc/dhcp-client/copyright OK usr/share/doc/dhcp-client/README.gz OK usr/share/doc/dhcp-client/RELNOTES.gz OK sbin/dhclient OK Por otra parte, en la documentación de chkrootkit se menciona en lo que a detección de sniffers se refiere que paquetes como: snort, ethereal y otros pueden dar falsos positivos. Espero que todo quede en eso, un falso positivo. Gracias de nuevo y un saludo. Javi.
Re: PACKET SNIFFER(/sbin/dhclient[2302])
quisiera saber porque no estoy muy ducho en este tema la salida de la orden: #chkrootkit -q eth1: PACKET SNIFFER(/sbin/dhclient[2302]) Seguramente se refiere a que hay un proceso (/sbin/dhclient[2302]) que esta cachando todos los paquetes en la interface eth0. No estoy seguro si dhclient debe cachar _todo_ o solo los paquetes dirigidos a una direccion broadcast, pero es prvable. Si es preocupante, y que medidas debería adoptar en su caso. Revisa los checksums el paquete dhclient y si esta todo en orden, entonces esta todo en orden. Igual y el mismo chkrootkit puede hacer eso (lee sus docs) o compara el archivo ejecutable con el de alguna otra maquina que tenga la misma version, arquitectura y de la que estes seguro. Si no usas IP dinamica en esa maquina (puras estaticas) vuela el dhcpclient, para que no coma recursos (no son tantos, en realidad) y no haga enojar a tu amigo chkrootkit.
