我们的通用PROMISCUOUS主机服务器(带有Parallels Plesk的LAMP)开始在eth0 “自行”开启PROMISCUOUS模式。
我注意到2013-11-08在configuration上的变化,当时rkhunter从“可能的混杂接口”警告我们以前没有发生过。 经过一番search,我没有发现我们的服务器上的混杂模式的任何真正的用例,所以我禁用它使用# ifconfig eth0 -promisc只发现一天后,标志已被重新设置。
这里是内核日志说:
11月8日14:51:31 hallinta内核:[3301285.098047] klogd1使用过时(PF_INET,SOCK_PACKET) 11月8日14:51:31 hallinta内核:[3301285.099528] device eth0进入混杂模式 11月11日08:34:18 hallinta内核:[3537242.374911]设备eth0离开混杂模式 11月12日07:46:30 hallinta内核:[3620559.485388] device eth0进入混杂模式 11月13日08:47:36 hallinta内核:[3710393.877512] device eth0 left promiscuous mode 11月14日07:53:49 hallinta内核:[3793353.202243] device eth0进入混杂模式 11月14日09:16:03 hallinta内核:[3798274.154435]设备eth0离开混杂模式
我包含了klogd1消息,因为它的即时时间戳。 从身份validation日志,我没有看到第一个“input的混杂模式”消息周围的任何可疑活动。
由于两个input的时间戳大致相似,我检查了是否有任何cronjobs在那个时候运行。 大部分的日常工作(我用这个工具search)最晚在06:25运行,下一个工作在08:00运行。 这些06:25作业中没有一个包含ifconfig或promisc这两个字。
什么可以在eth0接口上设置混杂模式 ,我应该担心? (我是,但我应该?)有什么合法的理由混杂模式应该设置?
如果vnstat是将界面置于混杂模式的进程,检查它的日志文件,看看是否logging(当然取决于日志冗长)。 如果没有理由监视stream量,只需禁用它,看看它是如何去。
我怀疑rkhunter正在运行时混杂模式必须开启,以便rkhunter检测到它。
什么是非常奇怪的,是这样的:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET) Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
AFAIK没有klogd1这样的东西(当然有klogd ),不应该有一个。 花点时间检查一下这个名字是否有一个二进制文件,如果有一个klogd1进程(如果是的话,find它在做什么)。 如果vnstat没有这样做,那么很有可能你的机器已经被盗用了。
有人可能正在运行一个包嗅探器,tcpdump,wireshark等。最后看看谁login。双重检查sudoers日志,如果你有configuration。