[ubuntu] dubbio intrusione

[k4ez4r]

Stamattina, dopo aver lasciato girare il muletto dalle 4 del pomeriggio di ieri, trovo il pc disconnesso prima del previsto (ho un 56k e per non occupare la linea durante il giorno programmo la disconnessione automatica). Allora faccio qualche controllo, tra cui un cat /var/log/messages... Tra l'output trovo queste righe

codice:

Sep 10 21:16:18 localhost kernel: [7274137.833000] eth0: Promiscuous mode enabled.
Sep 10 21:16:18 localhost kernel: [7274137.833000] device eth0 entered promiscuous mode

quando il pc non l'ho toccato per tutta la sera...

Mi hanno bucato??

[Jackson]

Ciao,
il fatto che la tua scheda di rete (eth0) sia entrata in modalità promiscua è un po' strano.

Questa modalità consente di captare i pacchetti che passano per il tuo pc e la rete e tramite appositi software di memorizzarli/filtrarli/salvarli.

Normalmente questo stato si attiva con qualche software come ethereal o simili. Ti consiglierei di verificare i processi attivi e fare un check con "rkhunter" o chkrootkit per verificare l'integrità dei comandi principali (è la prima cosa che fa un cracker, entra nel pc e installa un rootkit per nascondersi).

Facci sapere

[billiejoex]

Uhm... forse hai utilizzato tu tcpdump o simili. No?
In caso contrario è sicuramente un messaggio allarmante.
Conta, cmq, che per mettere un'interfaccia in quello stato hai per forza bisogno di privilegi di root: chi lo ha fatto ne conosceva quasi sicuramente le credenziali.

[k4ez4r]

ragazzi sparatemi ora, voglio morire....
il tcpdump l'avevo dato io non so per controllare cosa ma me ne sono subito dimenticato
scusate, stavolta il premio di gran cazzaro va a me
ciao e grazie per la disponibilità!