我们收到来自 AlertLogic (AL) 的通知,关于我们的 Ubuntu 20.04.5 LTS 开箱即用的 Linux 实例进入“混杂模式”。我已检查两个 Linux 网络接口“ip -d link”,它们均设置为“promiscuity 0”,并且托管 Linux 实例的 VMWare ESXI 主机配置已将所有网络接口“混杂模式”设置为“拒绝”。AL 声明:
Attack Summary
Discovery / Network Sniffing
Attack Detail:
Device entering Promiscuous mode on interface ethF
Hostname: DEVICE NAME
The local host at IP_ADDRESS has been detected entering promiscuous mode. When a device interface enters promiscuous mode it captures all packets traversing the network segment the device interface is connected to Thus any sensitive data (user names, passwords etc) traversing the network that is not being sent encrypted can be captured. Whilst this activity is associated with troubleshooting by administrators (using tools like
"tepdump" and "wireshark"), it can also be indicative of unauthorised activity and should be investigated.
绝对没有软件可以在网络接口上启用此模式,因为这是一个开箱即用的 Ubuntu 实例,运行一些从不接触 tcdump 或 wireshark 的 shell 脚本。但是,我在 /etc/passwd 文件中注意到一个用户:
tcpdump:x:REMOVED:REMOVED::/nonexistent:/usr/sbin/nologin
我还只检查了一个拥有超级用户权限但从未运行过此命令的用户。有人知道 Ubuntu 是否在后台使用 tcpdump、何时以及出于什么原因?
答案1
我认为问题可能已经自行解决,在将 Ubuntu 20.04 LTS 升级到 22.04 LTS 后,在 /var/log/syslog 中看不到有关进入混杂模式的任何条目,但如果情况有变化,我会继续检查并更新。