我们的通用网络托管服务器(带有 Parallels Plesk 的 LAMP)开始“自行”开启PROMISCUOUS模式。ONeth0
2013 年 11 月 8 日,我注意到配置发生了变化,当时rkhunter系统警告我们“可能存在混杂接口”,这种情况以前从未发生过。经过一番谷歌搜索,我没有在我们的服务器上找到混杂模式的任何实际用例,所以我禁用了它,# ifconfig eth0 -promisc结果发现一天后标志已被重新设置。
以下是内核日志的内容:
11 月 8 日 14:51:31 hallinta 内核:[3301285.098047] klogd1 使用过时的 (PF_INET,SOCK_PACKET) 11 月 8 日 14:51:31 hallinta 内核:[3301285.099528] 设备 eth0 进入混杂模式 11 月 11 日 08:34:18 hallinta 内核:[3537242.374911] 设备 eth0 处于混杂模式 11 月 12 日 07:46:30 hallinta 内核:[3620559.485388] 设备 eth0 进入混杂模式 11 月 13 日 08:47:36 hallinta 内核:[3710393.877512] 设备 eth0 处于混杂模式 11 月 14 日 07:53:49 hallinta 内核:[3793353.202243] 设备 eth0 进入混杂模式 11 月 14 日 09:16:03 hallinta 内核:[3798274.154435] 设备 eth0 处于混杂模式
我之所以包含该klogd1消息,是因为它的时间戳很直接。从身份验证日志中,我没有看到围绕第一条“进入混杂模式”消息的任何可疑活动。
由于两次输入的时间戳大致相似,我检查了一下这段时间是否有任何 cronjob 在运行。大多数日常任务(我用此工具) 最晚于 06:25 运行,下一个作业于 08:00 运行。这些 06:25 作业均不包含字词ifconfig或promisc。
什么可以设置混杂模式在eth0接口上,我应该担心吗?(我是担心,但我应该担心吗?)是否有任何合法的理由应该设置混杂模式?
答案1
如果vnstat进程将接口置于混杂模式,请检查其日志文件并查看是否已记录(当然取决于日志详细程度)。如果没有理由监控流量,只需禁用它并查看其运行情况。
我怀疑在rkhunter运行时必须开启混杂模式,才能rkhunter检测到它。
非常非常奇怪的是:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET)
Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
据我所知,没有这样的事情klogd1(当然有klogd),也不应该有。花点时间检查是否有该名称下的二进制文件以及是否有进程klogd1(如果有,请查找它在做什么)。如果vnstat没有,那么你的机器很有可能已被入侵。
答案2
有人可能正在运行数据包嗅探器、tcpdump、wireshark 等。最后查看谁登录了。如果已配置 sudoers 日志,请仔细检查。