DMESG:sniffeur installé ?

Support Debian
#1

Salut à tous,

Depuis un mois, mon noyau produit ce genre de message:

eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode

Le seul sniffeur de paquet est le client DHCP installé sur cette interface. Rien d’autre (snort,…)
Le rapport CHkRootkit ne révèle rien.

Cela correspond bien pour vous à l’activité du client dhcp ? Ou il y a anguille sous roche ?

Merci

#2

Pourquoi un client DHCP devrait passer en mode promiscuous ?

#3

[quote=“thialme”]Pourquoi un client DHCP devrait passer en mode promiscuous ?[/quote]Bah peut être parcequ’il ne sait pas encore quels paquets sont pour lui ou pas ?
(je dis peut être des conneries: si le non promiscuous filtre au niveau de l’arp, alors, il n’y a aucune raison que le dhcp ait besoin d’attendre autrechose que des paquets qui le concernent).
Platinium: tu n’as pas un truc genre “arpwatch” d’installé ? Il n’y a pas que les “sniffeurs” à proprement parler qui peuvent avoir besoin du promiscuous mode.
Tu as regardé un netstat -l pour voir ce qui écoutait sur ta carte ?

#4

[quote=“mattotop”][quote=“thialme”]Pourquoi un client DHCP devrait passer en mode promiscuous ?[/quote]Bah peut être parcequ’il ne sait pas encore quels paquets sont pour lui ou pas ?
(je dis peut être des conneries: si le non promiscuous filtre au niveau de l’arp, alors, il n’y a aucune raison que le dhcp ait besoin d’attendre autrechose que des paquets qui le concernent).
[/quote]

Je vais enqûeter.

#5

Il n’y a pas de mode promi…, on travaille en 255.255.255.255 pour le protocole DHCP afin de découvrir le réseau et de dialoguer avec le serveur DHCP. Par contre, il me semble que quand le client a déjà été configuré, il travaille en multicast.

#6

Je n’ai pas d’arpwatch installé sur le serveur:

root@toto:~# dpkg -l | grep arp root@toto:~#

ChkRootkit m’annonce que le sniffeur est DHCP.
Rapport de ce matin:

... Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth1: PACKET SNIFFER(/usr/sbin/dhcpd3[12577]) eth2: PACKET SNIFFER(/usr/sbin/dhcpd3[12577]) eth0: PACKET SNIFFER(/sbin/dhclient[15839]) ...

Le “netstat -l” est très long (le serveur fait BD,mail,web,proxy,ftp,dns,dhcp,samba!).

Je ne sais pas trop quelle info consulter…

#7

Je vais quand même le mettre:
TCP en écoute:

root@toto:~# netstat -taupn Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 3846/dovecot tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 11187/mysqld tcp 0 0 127.0.0.1:139 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 192.168.10.1:139 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 192.168.20.1:139 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 3846/dovecot tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 3689/inetd tcp 0 0 82.228.88.57:53 0.0.0.0:* LISTEN 9343/named tcp 0 0 192.168.20.1:53 0.0.0.0:* LISTEN 9343/named tcp 0 0 192.168.10.1:53 0.0.0.0:* LISTEN 9343/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 9343/named tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 31119/vsftpd tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 21023/(squid) tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 9343/named tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 3749/master tcp 0 0 127.0.0.1:445 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 192.168.10.1:445 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 192.168.20.1:445 0.0.0.0:* LISTEN 1530/smbd tcp 0 0 192.168.20.1:143 192.168.20.2:1314 ESTABLISHED4227/imap tcp 0 0 192.168.20.1:143 192.168.20.2:1065 ESTABLISHED4086/imap tcp 0 0 192.168.20.1:143 192.168.20.2:1312 ESTABLISHED4224/imap tcp 0 0 192.168.20.1:143 192.168.20.2:1054 ESTABLISHED4080/imap tcp6 0 0 :::80 :::* LISTEN 14535/apache2 tcp6 0 0 :::53 :::* LISTEN 9343/named tcp6 0 0 :::22 :::* LISTEN 8643/sshd tcp6 0 0 ::1:953 :::* LISTEN 9343/named tcp6 0 1160 ::ffff:192.168.20.1:22 ::ffff:192.168.20.:1309 ESTABLISHED4173/sshd: toto [
UDP en écoute:

udp 0 0 0.0.0.0:1160 0.0.0.0:* 9343/named udp 0 0 192.168.10.1:137 0.0.0.0:* 1528/nmbd udp 0 0 192.168.20.1:137 0.0.0.0:* 1528/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 1528/nmbd udp 0 0 192.168.10.1:138 0.0.0.0:* 1528/nmbd udp 0 0 192.168.20.1:138 0.0.0.0:* 1528/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 1528/nmbd udp 0 0 82.228.88.57:53 0.0.0.0:* 9343/named udp 0 0 192.168.20.1:53 0.0.0.0:* 9343/named udp 0 0 192.168.10.1:53 0.0.0.0:* 9343/named udp 0 0 127.0.0.1:53 0.0.0.0:* 9343/named udp 0 0 0.0.0.0:3130 0.0.0.0:* 21023/(squid) udp 0 0 0.0.0.0:67 0.0.0.0:* 12577/dhcpd3 udp 0 0 0.0.0.0:68 0.0.0.0:* 15839/dhclient udp 0 0 0.0.0.0:1243 0.0.0.0:* 21023/(squid) udp 0 0 82.228.88.57:123 0.0.0.0:* 3866/ntpd udp 0 0 192.168.20.1:123 0.0.0.0:* 3866/ntpd udp 0 0 192.168.10.1:123 0.0.0.0:* 3866/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 3866/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 3866/ntpd udp6 0 0 :::1163 :::* 9343/named udp6 0 0 :::53 :::* 9343/named udp6 0 0 fe80::230:f1ff:fe0f:123 :::* 3866/ntpd udp6 0 0 fe80::218:4dff:fe7a:123 :::* 3866/ntpd udp6 0 0 ::1:123 :::* 3866/ntpd udp6 0 0 fe80::20d:88ff:feca:123 :::* 3866/ntpd udp6 0 0 :::123 :::* 3866/ntpd

#8

AMA, c’est chkrootkit qui est trop alarmiste.

#9

En fait, c’est surtout le DMESG qui m’inquiète:

eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode eth0: Promiscuous mode enabled. device eth0 entered promiscuous mode device eth0 left promiscuous mode

#10

et tu retrouves les messages ailleurs (dans le syslog par exemple) ?
Que ce passe t il dans les logs juste avant ou en même temps ?

#11

[quote=“mattotop”]AMA, c’est chkrootkit qui est trop alarmiste.[/quote]Salut.J’y connais pas grand chose mais ce que tu peux faire c’est regarder s’il n’y a pas de faux positif.Ca doit etre dans /usr/share/doc/chkrootkit ou qqch comme ca.

#12

En fouillant syslog, voilà ce que je trouve:

[code]root@toto:/var/log# zgrep promis syslog.1.gz
Aug 16 19:59:00 toto kernel: device eth0 left promiscuous mode

root@toto:/var/log# zgrep promis syslog.2.gz
Aug 16 06:26:50 toto kernel: device eth0 left promiscuous mode
Aug 16 06:26:51 toto kernel: device eth0 entered promiscuous mode

root@toto:/var/log# zgrep promis syslog.3.gz
Aug 15 06:26:48 toto kernel: device eth0 left promiscuous mode
Aug 15 06:26:49 toto kernel: device eth0 entered promiscuous mode

root@toto:/var/log# zgrep promis syslog.4.gz
Aug 14 06:26:22 toto kernel: device eth0 left promiscuous mode
Aug 14 06:26:22 toto kernel: device eth0 entered promiscuous mode

root@toto:/var/log# zgrep promis syslog.5.gz
Aug 12 21:19:24 toto kernel: device eth0 left promiscuous mode
Aug 13 06:26:06 toto kernel: device eth0 entered promiscuous mode

root@toto:/var/log# zgrep promis syslog.6.gz
Aug 11 23:40:48 toto kernel: device eth0 left promiscuous mode
Aug 11 23:40:49 toto kernel: device eth0 entered promiscuous mode
Aug 12 06:27:09 toto kernel: device eth0 left promiscuous mode
Aug 12 06:27:09 toto kernel: device eth0 entered promiscuous mode
root@toto:/var/log#[/code]

Il semble qu’il y ait à 6h26 une action qui provoque le changement d’état de l’interface.
Ce qui me chagrine c’est que l’interface est en mode promiscuous à 99% du temps d’après les logs…Je ne sais toujours pas pourquoi !

D’où 2 questions:

  • où je peux connaitre l’historique des mon bail DHCP ?
  • où sont (s’il y en a ) des syslog antérieurs à 7 jours ?