+ Responder ao Tópico



  1. #1

    Padrão Promisc Mode - Ajuda.

    Saudações Galera, sou novo no forum, muito bom o conteúdo que encontramos aqui.

    Entao, estou postando uma dúvida que tenho aqui, em relação ao promisc mode. Tenho um servidor de email que atualmente roda debian. Ele ficou quase 200 dias rodando normal. Estes dias deu problema na fonte e ele reseto, ao começar carregar as coisas ele parou naquela linha de promisc mode enable. Isso nao aparecia antes, acho que foi apartir de que instalaram webalizer(monitor de rede via httpd - gerador de gráficos) nele. O que fiz foi desinstalar o webalizer e dar -promisc nas interfaces, porém de tempo em tempo ele roda novamente este modo(promisc), com certeza deve ser algo na cron para ele rodar assim toda hora. Mas eu nao sei o que pode ser, estou desconfiando que seja algo com apache ou iptables, porém nao posso tirar nenhum deles da cron, como faço para descobri qual realmente está ativando este modo e como faço pra parar essa ativação automatica.

    Abaixo segue o log o kernel, bem no momento que ele ativa pela primeira vez o promisc:

    Jan 29 18:49:12 mail kernel: eth0: VIA VT6102 Rhine-II at 0xa400, 00:0e:a6:aa:0$
    Jan 29 18:49:12 mail kernel: eth0: MII PHY found at address 1, status 0x786d ad$
    Jan 29 18:49:12 mail kernel: device eth0 entered promiscuous mode
    Jan 29 18:49:12 mail kernel: kjournald starting. Commit interval 5 seconds
    Jan 29 18:49:12 mail kernel: EXT3 FS 2.4-0.9.17, 10 Jan 2002 on ide0(3,3), inte$
    Jan 29 18:49:12 mail kernel: EXT3-fs: mounted filesystem with ordered data mode.
    Jan 29 18:49:12 mail kernel: kjournald starting. Commit interval 5 seconds
    Jan 29 18:49:12 mail kernel: EXT3 FS 2.4-0.9.17, 10 Jan 2002 on ide0(3,5), inte$
    Jan 29 18:49:12 mail kernel: EXT3-fs: mounted filesystem with ordered data mode.
    Jan 29 18:49:12 mail kernel: kjournald starting. Commit interval 5 seconds
    Jan 29 18:49:12 mail kernel: EXT3 FS 2.4-0.9.17, 10 Jan 2002 on ide0(3,6), inte$
    Jan 29 18:49:12 mail kernel: EXT3-fs: mounted filesystem with ordered data mode.
    Jan 29 18:49:12 mail kernel: ip_tables: (C) 2000-2002 Netfilter core team
    Jan 29 18:49:12 mail kernel: eth0: Promiscuous mode enabled.
    Jan 29 18:49:12 mail kernel: eth0: Setting full-duplex based on MII #1 link par$
    Jan 29 18:49:12 mail kernel: eth0: Promiscuous mode enabled.


    Se alguém puder me ajudar!
    Desde já agradeço a atenção!

    Abraços!

  2. #2



  3. #3

    Padrão

    Certo, eu já li muitas coisas sobre como ativar e desativer, meu problema realmente é que ele ativa sozinho entende? Este que está sendo meu problema. Eu desativo lá ele e daqui a pouco ele volta, estou desconfiando do apache!

  4. #4

    Padrão

    Tipo.. fique olhando para a maquina e na hora q ela entrar em promisc vc da um 'ps -axu' la na e verifica o que ta rodando nela, pode ser um tcpdump que tenha botado e mmodo promisc... e pelo que eu me lembro muito bem, nem apache, nem iptables poem placa de rede em +promisc, e nem o webalizer, este somente pega os logs do apache e gera o relatorio, semelhante ao funcionamento do sarg, se vc conhece esse.



  5. #5

    Padrão

    Você está coberto de razão. Webalizer ele apenas verifica os logs do apache. Entao, eu deixei listando o /var/log/message e no momento que ele ativa, nao consigo identificar o que faz isso. Achei que fosse apache, para tirar fuvida deixei ele off por um tempo e ele ativo igual ou seja webalizer nem apache é. To desconfiando que seja algum tipo de worm, não sei, estou louco já com isso, já tentei muitas coisas e nada resolve.

  6. #6



  7. #7

    Padrão

    Ta meio estranho esse teu 'ps' ... apareceu coisa demais, incluise os scripts de /etc/init.d com o start... isso nao deveria aparecer, no caso so deveria aparecer as coisas que estao rodando no momento, mas verifique os seus scripts de if-up/if-down/networking veja tambem o que esta rodando no cron (/etc/crontab, /etc/cron.d*)

  8. #8

    Padrão

    mail:/etc# cat crontab
    # /etc/crontab: system-wide crontab
    # Unlike any other crontab you don't have to run the `crontab'
    # command to install the new version when you edit this file.
    # This file also has a username field, that none of the other crontabs do.

    SHELL=/bin/sh
    PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

    # m h dom mon dow user command
    25 6 * * * root test -e /usr/sbin/anacron || run-parts --report /etc/cron.daily
    47 6 * * 7 root test -e /usr/sbin/anacron || run-parts --report /etc/cron.weekly
    52 6 1 * * root test -e /usr/sbin/anacron || run-parts --report /etc/cron.monthly
    #


    --------------------------------------------------

    mail:/etc/cron.d# ls
    exim

    --------------------------------------------------

    mail:/etc/cron.daily# ls
    calendar find man-db netkit-inetd sysklogd
    exim logrotate modutils standard

    --------------------------------------------------

    mail:/etc/cron.weekly# ls
    man-db sysklogd

    --------------------------------------------------

    mail:/etc/cron.monthly# ls
    standard

    --------------------------------------------------
    Última edição por skide; 07-02-2007 às 13:07.



  9. #9

    Padrão

    Mais ninguém para me dar uma luz no fim do tunel!?
    HeHe! Mesmo assim valeu a ajuda que já deram!

  10. #10

    Padrão

    cadê o crontab do root?

    logado como root:
    Código :
     crontab -l



  11. #11

  12. #12

    Padrão

    só mais uma coisa amigo, como tá o seu espaço em disco? tem alguma partição com 100% de uso?



  13. #13

    Padrão

    # df -h
    Filesystem Size Used Avail Use% Mounted on
    /dev/hda2 486M 37M 424M 8% /
    /dev/hda3 486M 102M 359M 23% /usr
    /dev/hda5 988M 22M 916M 3% /home
    /dev/hda6 19G 206M 18G 2% /var

  14. #14

    Padrão

    Então, mistymst falou pra vc dar uma olhada nos seus scripts de network, que configuram a sua rede. Faz isso, posta aqui.
    Outra coisa, não é só tcpdump que coloca a interface em promisc, pode ser uma bridge também. Por exemplo, eu uso qemu aqui, e pras minhas máquinas virtuais acessarem a rede elas usam uma bridge (br0) com minha interface eth0. Pode ser também openvpn, tem uma forma de configuração do OpenVpn que vc usa bridge, vc usa algum tipo de vpn nessa máquina?
    Outra coisa, não consigo entender pq de tanto processo zumbi assim nessa máquina, por isso te perguntei das partições cheias... será que não tem nenhuma montada como ro ? por algum problema no sistema de arquivos, corrompido, alguma coisa assim?talvez precise checar o sistema de arquivos...

    é no que me vem à cabeça agora, conforme vc for postando a gente vai pensando em outras possibilidades...

    abraço



  15. #15

    Padrão

    Não uso nenhum tipo de VPN nem nad assim, unicas coisas que rodam nessa maquina é Servidor de Email Iptables e Apache. Não tem nenhuma função além de servidor de email e httpd!

  16. #16

    Padrão

    Veja o que tem em cada arquivo de contrab, veja o 'lsmod' e veja se tem algo programado no 'at' (verica com o atq) pode inclusive verificar se tem algo no /var/spool na parte do cron



  17. #17

    Padrão

    Citação Postado originalmente por joseguilherme Ver Post
    Então, mistymst falou pra vc dar uma olhada nos seus scripts de network, que configuram a sua rede. Faz isso, posta aqui.
    Outra coisa, não é só tcpdump que coloca a interface em promisc, pode ser uma bridge também. Por exemplo, eu uso qemu aqui, e pras minhas máquinas virtuais acessarem a rede elas usam uma bridge (br0) com minha interface eth0. Pode ser também openvpn, tem uma forma de configuração do OpenVpn que vc usa bridge, vc usa algum tipo de vpn nessa máquina?
    Outra coisa, não consigo entender pq de tanto processo zumbi assim nessa máquina, por isso te perguntei das partições cheias... será que não tem nenhuma montada como ro ? por algum problema no sistema de arquivos, corrompido, alguma coisa assim?talvez precise checar o sistema de arquivos...

    é no que me vem à cabeça agora, conforme vc for postando a gente vai pensando em outras possibilidades...

    abraço
    Sim, realmente nao é so o tcpdump, entretanto esse é um dos mais comuns, mas a ideia é verificar se alguem comprometeu a maquina dele e alterou alguma coisa, algum script q fica colocando a maquina em modo promisc, é interssante tambem mostrar o q tem de portas abertas, com netstat -anp.

    Outra coisa que voce pode baixar é um rootkit para ver se ngm instalou nada na sua maquina.