OSSEC HIDS сообщает: "Интерфейс введен в беспорядочном режиме"

Question

OSSEC HIDS сообщает: "Интерфейс введен в беспорядочном режиме"

Я установил последнюю версию OSSEC HIDS (2.8.1) и теперь продолжаю получать от нее следующие уведомления по электронной почте:

OSSEC HIDS Notification.
2015 Apr 08 11:26:17

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:15 Bath-Towel kernel: [   93.311372] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:19

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:18 Bath-Towel kernel: [   95.824941] device eth0 entered promiscuous mode



 --END OF NOTIFICATION



OSSEC HIDS Notification.
2015 Apr 08 11:26:23

Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):

Apr  8 11:26:21 Bath-Towel kernel: [   99.353199] device eth0 entered promiscuous mode



 --END OF NOTIFICATION

Так что это значит, и я должен беспокоиться об этом?

Информация об ОС:

Description:    Ubuntu 14.10
Release:    14.10

2

networking security ethernet syslog ossec

Источник

08 апр '15 в 11:09

2 ответа

Решение

1) Всегда переживайте... Хакеры не хотят, чтобы вы обращали внимание на логи и устройства Ethernet, которые "загадочным образом" включали беспорядочный режим без всякой причины.

2) Беспорядочный режим на компьютере не имеет ничего общего с заражением противными вирусами, такими как СПИД... - Нет, но поведение - это красный флаг, и его следует расследовать. Игнорирование таких признаков, как это, и игнорирование их - это слабый образ мышления в области безопасности, от которого страдают многие компании и учреждения в наши дни.

Это просто означает, что ваш сетевой адаптер сможет читать пакеты TCP/IP, предназначенные для других адаптеров. (Ака "нюхает", и это отличный инструмент для поиска неясных ошибок связи TCP/IP) - Это... ЕСЛИ и я подчеркиваю "ЕСЛИ", это делается для устранения неполадок, а не для захвата пакетов для злонамеренных намерений, таких как печать ноги в сети или захват незашифрованных сообщений (электронная почта и т. д.).

Ошибка на стороне предостережения гораздо предпочтительнее, чем игнорирование потенциальных угроз безопасности.

Что касается того, почему это произошло... единственное, что я могу придумать, это просмотреть журналы вашей системы и приложений в то время, когда это произошло, и убедиться, что это было то, что ВЫ сделали, а не кто-то или что-то еще.

-1

Источник

motorious 17 июн '15 в 17:49

Другие вопросы по тегам networking security ethernet syslog ossec

Fabby 08 апр '15 в 21:29 2015-04-08 21:29 · Accepted Answer · 2015-04-08 21:29

Если вы установили программное обеспечение, которое позволяет анализировать и получать его при запуске программного обеспечения, такого как WireShark, то:

Перестань беспокоиться! У вас будет сердечный приступ раньше времени! ;-)
Случайный режим на компьютере не имеет ничего общего с заражением такими вирусами, как СПИД... Это просто означает, что ваш сетевой адаптер сможет считывать пакеты TCP/IP, предназначенные для других адаптеров. (Ака "нюхает", и это отличный инструмент для поиска неясных ошибок связи TCP/IP)