[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: eth0: Promiscuous mode enabled.



1. Die Log-Meldung besagt ja erstmal nur, dass zum angegebenen
Zeitpunkt der Prom.Mode eingeschaltet wurde .. ob und wann er evtl.
wieder abgeschalten wurde steht da nicht.
2. muss das kein rootkit sein .. kann ja auch "manuell" jemand gemacht haben.
3. Wenn Du sicher bist, dass das kein normaler Vorgang war (z.B. durch
starten von tcpdump, iptraf, ethereal oder sonstigen tools), dann
würde ich mir sorgen machen, dass da jemand auf meinem System ist, der
da nicht hingehört.

On Fri, 4 Feb 2005 16:42:12 +0100, Klaus Becker <colonius@free.fr> wrote:
> Hallo Liste,
> 
> beim Versuch, mit der Sicherheit meines Systems auseinanderzusetzen, bin ich
> auf folgende Meldungen gestossen:
> 
> # grep -i prom /var/log/*
> /var/log/kern.log:Feb  2 16:09:36 koeln kernel: eth0: Promiscuous mode
> enabled.
> /var/log/kern.log:Feb  2 16:09:36 koeln kernel: device eth0 entered
> promiscuous mode
> 
> rkhunter sagt allerdings:
> * Interfaces   Scanning for promiscuous interfaces   [ OK ]
> und findet auch sonst nichts zu beanstanden.
> 
> ähnlich chkrootkit:
> Checking `sniffer'... lo: not promisc and no packet sniffer sockets
> 
> ifconfig -a | grep -i prom findet auch nichts.
> 
> Wem soll ich nun glauben und was ist da zu tun?
> 
> Klaus
> 
>



Reply to: