질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

로그좀 봐주시고 처리 방법도 좀...

작성자 정보

  • HELP 작성
  • 작성일

컨텐츠 정보

본문

어제 서버OS 새로 설치하고 오늘 아침에 출근해서 로그를 살펴보니..

이상한 에러가 있어서;;;

Sep 12 15:39:03 localhost sshd(pam_unix)[24596]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net
Sep 12 15:39:05 localhost kernel: eth0: Promiscuous mode enabled.
Sep 12 15:39:05 localhost kernel: device eth0 entered promiscuous mode
Sep 12 15:39:58 localhost sshd(pam_unix)[24621]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net
Sep 12 15:40:01 localhost kernel: device eth0 left promiscuous mode

 

이런 에러가 있는데요..

Sep 12 15:39:03 localhost sshd(pam_unix)[24596]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net

이거는 문제가 안되는데..

Sep 12 15:39:05 localhost kernel: eth0: Promiscuous mode enabled.
Sep 12 15:39:05 localhost kernel: device eth0 entered promiscuous mode

Sep 12 15:40:01 localhost kernel: device eth0 left promiscuous mode

이부분이 좀 걱정이 되네요.

게시판 검색해보니...sniffing 시 변경된다고 하는데...정말 그런건지 불안하네요..

낑낑대고 서버 새로 설치 했는데...

게시판 찾아보니

  "하지만, 단순히 tcpdump를 실행해도 아래와 같은 메시지가 보이게 되므로  반드시 공격의 징후라고 확신할 수는 없으며. 혹 해당 시간대에 네트워크 모니터링등을 위해 tcpdump나 관련 프로그램을 사용하지 않으셨는지 확인해 보시기 바랍니다"

 

제가 서버보안 실무관리 책보면서

 snort

chkrootkit

rootkit hunter

rootcheck

nessus

nmap

등과 같은 책에 나온 유틸 몽땅 다 설치 하고 실행했는데 혹시 그것때문에 그런걸까요 ?

아니면 해킹일까요;;;

불안하네요...

 

관련자료

댓글 1

주진은님의 댓글

  • 주진은
  • 작성일
스캐닝이나 스니핑으로 인한 문제일수도 있을것 같습니다. 따라서 ps나 lsof로 프로세스를 점검부터 해보시는게 좋을듯합니다. 그 다음으로 ifconfig의 옵션중 -promisc를 이용하여 promiscuous 모드를 꺼놓으십시오.

공지사항


뉴스광장


  • 현재 회원수 :  60,063 명
  • 현재 강좌수 :  35,952 개
  • 현재 접속자 :  211 명