Serversperrung wegen promiscuous Mode

[blackmagic]

Hallo
GN hat meinen server offline gesetzt und will den vor einer neu aufsetzung nicht wieder online stellen weil der promiscuous mode aktiviert ist
ich weiss nichtmal was das ist und habe es auch nicht installiert.
die behaupten so kann ich pakete von anderen usern im gleichen lan mitschneiden und das wäre nen sicherheitsrisiko ?!?!?
es ist ein debian system
vielen dank für hilfe.

[captaincrunch]

ich weiss nichtmal was das ist und habe es auch nicht installiert.

Wenn du wissen willst was es ist helfen dir die Forensuche und Google.

die behaupten so kann ich pakete von anderen usern im gleichen lan mitschneiden und das wäre nen sicherheitsrisiko ?!?!?

Sofern man dort nicht in der Lage ist, die Netzwerkinfrastruktur dagegen abzusichern (was ein Armutszeugnis wäre), ist diese Aussage korrekt.

es ist ein debian system
vielen dank für hilfe.

Aber bitteschon! Was wolltest du doch gleich wissen?

[blackmagic]

was es ist hat mir die forensuche so einigermaßen mitgeteilt aber wie kann der denn aktiviert sein wenn ich es nicht war? ist es standartmässig so und wie kann man es abschalten ? das ergab die forensuche leider nicht

[d.goersch]

Hallo,

also ich denke, wenn du nicht weisst, was der promiscuous mode ist, solltest du statt 'nem Rootserver lieber 'nen Gameboy administrieren...

Gruß D.Görsch

PS: Guggst du hier: http://searchsecurity.techtarget.com/sD ... 83,00.html
Ist übrigens der erste Hit bei Google... also eigentlich einfach zu finden, wenn man denn sucht...

[blackmagic]

was es ist weiss ich ja aber ich finde keine logische erklärung wieso man desswegen nen server neu aufsetzen muss

[d.goersch]

Da du scheinbar nicht weisst, welche Anwendung ihn aktiviert, bleibt wohl nur die Neuinstallation.

Finde ich eine gute Entscheidung von GN!

Gruß D.Görsch.

[blackmagic]

ich hab den server nochnicht lange das einzigste was ich installiert habe is ne java machine das kanns ja wohl nicht sein
andere provider stört der modus auch nicht wenn ich mal in deren foren lese vor allen kostet neu init 59euro ...hmpf

[d.goersch]

Mag sein, dass es manche Provider nicht stört, aber es gehört einfach nicht zur "feinen Art" diesen aktiviert zu haben. Bei dem Provider bei dem ich zuletzt gearbeitet habe, haben wir Kisten mti aktiviertem auch sofort stillgelegt...

Aktiviert wird dieser von Anwendungen, die das Netzwerk belauschen/überwachen. Zum einen die Kategorie der Netzwerksniffer, aber auch statistische Anwendungen, ntop z.B. tcpdump auch und noch zig andere...

Gruß D.Görsch

[blackmagic]

aha
und die kann man nicht so abschalten ?
das kann ich fast garnicht so wirklich glauben

[d.goersch]

aha
und die kann man nicht so abschalten ?
das kann ich fast garnicht so wirklich glauben

Sicher kann man die abschalten, aber dazu muss man wissen was es genau ist. GN macht sich sicher nicht die Mühe dein System zu analysieren...

[Anonymous]

dann wüßte er evtl. wie man das abstellen kann.
Richtig ist: Der Server wurde von GreatNet abgeschaltet.
Die Ursache ist allerdings evtl. nicht ganz soo schlimm. Evtl. hat er einfach snort installiert, um sein System vor pösen Puben zu schützen.
Was mich allerdings wundert ist, daß das Posting bisher überlebt hat!?
Gruß
Heini

[blackmagic]

mich auch*g
nunja auf jeden fall habe ich soetwas nicht installiert
das einzige was ich installiert habe ist definitiv jave
man sieht ja auch anhand der logs dass so ein programm nicht läuft/lief

[d.goersch]

Namnd,

schreib an GN, dass du dir nicht vorstellen kannst, woher die NIC im promiscuous mode ist, dass sie dir entweder zur Behebung Zugriff gewähren sollen, oder selber nachschauen und dir die Ausgebe von "ps xafu" schicken sollen.

Ggf kannst du die dann hier Veröffentlichen und wir können mal schauen welche Anwendung/welcher Prozess das sein könnte.

Gruß D.Görsch.

[blackmagic]

greatnet stellt nun meinen server online damit ich das problem beheben kann
ich werde die resultate hier posten

[Anonymous]

bei den Default Installationen von GN ist der tatsächlich nicht eingeschaltet und dann wird es evtl. teuer. Aber es wäre natürlich schon interessant, welche Dateien auf dieser Installation unter /etc/init.d rumschimmeln.
Wenn Du wirklich nie was gemacht hast wäre das aber auch nicht gut. Der 2.4.23 Kernel von GreatNet hat noch einige Sicherheitslücken auf Lager (mremap etc). Nächste Woche ziehe ich um. dann hat zumindest für mich das Zittern ein Ende.
Gruß
Heini

[blackmagic]

t207:~# ps xafu
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.1 1272 484 ? S May12 0:11 init [2]
root 2 0.0 0.0 0 0 ? SW May12 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SWN May12 0:00 [ksoftirqd_CPU0]
root 4 0.0 0.0 0 0 ? SW May12 0:00 [kswapd]
root 5 0.0 0.0 0 0 ? SW May12 0:00 [bdflush]
root 6 0.0 0.0 0 0 ? SW May12 0:00 [kupdated]
root 7 0.0 0.0 0 0 ? SW May12 0:00 [kjournald]
root 73 0.0 0.0 0 0 ? SW May12 0:00 [kjournald]
root 86 0.0 0.0 1240 240 ? T May12 0:00 /bin/echo -n Runn
root 89 0.0 0.0 1244 240 ? T May12 0:00 chmod 644 /etc/re
root 91 0.0 0.0 1240 240 ? T May12 0:00 /bin/echo done.
root 198 0.0 0.0 1244 240 ? T May12 0:00 chmod 664 /var/ru
root 211 0.0 0.0 1232 236 ? T May12 0:00 dmesg -s 65536
root 235 0.0 0.3 2040 748 ? S May12 0:00 /sbin/syslogd
root 246 0.0 0.7 2740 1860 ? S May12 0:00 /usr/sbin/named
root 254 0.0 0.2 1992 708 ? S May12 0:00 /usr/sbin/inetd
root 261 0.0 0.4 2180 1084 ? S May12 0:00 /bin/sh ./bin/saf
mysql 283 0.0 2.3 29416 5816 ? S May12 0:00 _ /usr/sbin/mys
mysql 285 0.0 2.3 29416 5816 ? S May12 0:00 _ /usr/sbin
mysql 286 0.0 2.3 29416 5816 ? S May12 0:00 _ /usr/
mysql 287 0.0 2.3 29416 5816 ? S May12 0:00 _ /usr/
root 366 0.0 0.4 2488 1124 ? S May12 0:00 /usr/lib/postfix/
postfix 370 0.0 0.5 6376 1328 ? S May12 0:00 _ qmgr -l -t fi
postfix 5517 0.0 0.3 2420 956 ? S 08:08 0:00 _ pickup -l -t
root 375 0.0 0.4 2784 1208 ? S May12 0:00 /usr/sbin/sshd
root 6055 0.0 0.8 6540 2004 ? S 09:33 0:00 _ /usr/sbin/ssh
root 6057 0.0 0.3 2464 916 ? S 09:33 0:00 | _ /usr/lib/
root 6075 0.5 0.7 6408 1964 ? S 09:35 0:00 _ /usr/sbin/ssh
root 6077 0.4 0.4 2212 1220 pts/0 S 09:35 0:00 _ -bash
root 6079 0.0 0.2 2568 732 pts/0 R 09:35 0:00 _ ps xa
root 400 0.0 0.7 1968 1968 ? SL May12 0:00 /usr/sbin/ntpd
root 404 0.0 0.2 1652 684 ? S May12 0:00 /usr/sbin/cron
root 4830 0.0 0.3 1760 772 ? S 06:25 0:00 _ /USR/SBIN/CRO
root 4833 0.0 0.3 2028 904 ? S 06:25 0:00 | _ /bin/sh -
root 4835 0.0 0.1 1248 344 ? S 06:25 0:00 | _ run-p
root 6066 0.0 0.3 1760 772 ? S 09:35 0:00 _ /USR/SBIN/CRO
root 6068 0.0 0.3 2024 896 ? S 09:35 0:00 _ /bin/sh -
root 6069 0.0 0.3 2024 892 ? S 09:35 0:00 _ /bin/
root 411 0.0 2.1 18304 5268 ? S May12 0:00 /usr/sbin/apache
root 420 0.0 0.4 2308 1016 ? S May12 0:00 _ /usr/bin/perl
wwwrun 421 0.0 4.3 20556 10688 ? S May12 0:05 _ /usr/sbin/apa
wwwrun 422 0.0 3.1 20528 7648 ? S May12 0:06 _ /usr/sbin/apa
wwwrun 423 0.0 3.1 20584 7712 ? S May12 0:05 _ /usr/sbin/apa
wwwrun 424 0.0 3.3 21076 8364 ? S May12 0:05 _ /usr/sbin/apa
wwwrun 425 0.0 2.8 19752 7024 ? S May12 0:03 _ /usr/sbin/apa
wwwrun 428 0.0 3.2 20996 8116 ? S May12 0:04 _ /usr/sbin/apa
wwwrun 429 0.0 3.2 20856 7980 ? S May12 0:07 _ /usr/sbin/apa
wwwrun 430 0.0 3.2 20840 7960 ? S May12 0:06 _ /usr/sbin/apa
wwwrun 435 0.0 3.1 20672 7796 ? S May12 0:05 _ /usr/sbin/apa
wwwrun 684 0.0 3.1 20724 7844 ? S 00:22 0:02 _ /usr/sbin/apa
root 414 0.0 0.1 1252 468 tty1 S May12 0:00 /sbin/getty 38400
root 415 0.0 0.1 1252 468 tty2 S May12 0:00 /sbin/getty 38400
root 416 0.0 0.1 1252 468 tty3 S May12 0:00 /sbin/getty 38400
root 417 0.0 0.1 1252 468 tty4 S May12 0:00 /sbin/getty 38400
root 418 0.0 0.1 1252 468 tty5 S May12 0:00 /sbin/getty 38400
root 419 0.0 0.1 1252 468 tty6 S May12 0:00 /sbin/getty 38400
root 4867 0.0 0.0 1244 208 ? T 06:25 0:00 chmod 644 /var/li
root 6072 0.0 0.0 1256 244 ? S 09:35 0:00 date +%d
ich hoffe hier kann jemand was erkennen