로그좀 봐주시고 처리 방법도 좀...

어제 서버OS 새로 설치하고 오늘 아침에 출근해서 로그를 살펴보니..

이상한 에러가 있어서;;;

Sep 12 15:39:03 localhost sshd(pam_unix)[24596]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net
Sep 12 15:39:05 localhost kernel: eth0: Promiscuous mode enabled.
Sep 12 15:39:05 localhost kernel: device eth0 entered promiscuous mode
Sep 12 15:39:58 localhost sshd(pam_unix)[24621]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net
Sep 12 15:40:01 localhost kernel: device eth0 left promiscuous mode

이런 에러가 있는데요..

Sep 12 15:39:03 localhost sshd(pam_unix)[24596]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=61-218-64-104.hinet-ip.hinet.net

이거는 문제가 안되는데..

Sep 12 15:39:05 localhost kernel: eth0: Promiscuous mode enabled.
Sep 12 15:39:05 localhost kernel: device eth0 entered promiscuous mode

Sep 12 15:40:01 localhost kernel: device eth0 left promiscuous mode

이부분이 좀 걱정이 되네요.

게시판 검색해보니...sniffing 시 변경된다고 하는데...정말 그런건지 불안하네요..

낑낑대고 서버 새로 설치 했는데...

게시판 찾아보니

  "하지만, 단순히 tcpdump를 실행해도 아래와 같은 메시지가 보이게 되므로  반드시 공격의 징후라고 확신할 수는 없으며. 혹 해당 시간대에 네트워크 모니터링등을 위해 tcpdump나 관련 프로그램을 사용하지 않으셨는지 확인해 보시기 바랍니다"

제가 서버보안 실무관리 책보면서

 snort

chkrootkit

rootkit hunter

rootcheck

nessus

nmap

등과 같은 책에 나온 유틸 몽땅 다 설치 하고 실행했는데 혹시 그것때문에 그런걸까요 ?

아니면 해킹일까요;;;

불안하네요...