我们的一般虚拟主机服务器(LAMP与Parallels Plesk)开始在eth0“自身”上打开PROMISCUOUS模式.
我注意到2013-11-08配置的变化,当rkhunter警告我们“可能的混杂接口”之前没有发生过.经过一段谷歌搜索后,我没有在我们的服务器上找到混杂模式的任何真实用例,所以我使用#ifconfig eth0 -promisc禁用它只是为了找出一天后标志已被重置.
这是内核日志所说的:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET) Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode Nov 11 08:34:18 hallinta kernel: [3537242.374911] device eth0 left promiscuous mode Nov 12 07:46:30 hallinta kernel: [3620559.485388] device eth0 entered promiscuous mode Nov 13 08:47:36 hallinta kernel: [3710393.877512] device eth0 left promiscuous mode Nov 14 07:53:49 hallinta kernel: [3793353.202243] device eth0 entered promiscuous mode Nov 14 09:16:03 hallinta kernel: [3798274.154435] device eth0 left promiscuous mode
由于其即时时间戳,我包含了klogd1消息.从auth日志中我没有看到第一个“输入混杂模式”消息周围的任何可疑活动.
由于两个进入的时间戳大致相似,我检查了我是否有任何cronjobs在那个时候运行.大多数日常工作(我用this tool搜索)是在最晚的06:25运行,下一个工作是在08:00运行.那些06:25的工作都没有包含ifconfig或promisc这两个词.
什么可以在eth0接口上设置混杂模式ON,我应该担心吗? (我,但我应该是吗?)是否应该设置任何合法的原因混杂模式?
解决方法
如果vnstat是将接口置于混杂模式的进程,请检查其日志文件并查看是否已记录(当然取决于记录详细程度).如果没有理由监控流量,只需禁用它并查看其运行情况.
我怀疑在rkhunter运行时必须启用混杂模式才能让rkhunter检测到它.
非常奇怪的是,这是:
Nov 8 14:51:31 hallinta kernel: [3301285.098047] klogd1 uses obsolete (PF_INET,SOCK_PACKET) Nov 8 14:51:31 hallinta kernel: [3301285.099528] device eth0 entered promiscuous mode
AFAIK没有klogd1这样的东西(当然有一个klogd),而且不应该有一个.花些时间检查该名称下是否存在二进制文件以及是否存在klogd1进程(如果是,请查找它正在执行的操作).如果vnstat没有这样做,那么您的机器很可能已被泄露.
