스니핑 당하고 있는건가요?

kjw7945의 이미지

네트워크가 안되서 직접 컴퓨터 콘솔을 보니

콘솔에서 promiscouse라는 글자가 뜹니다.

ifconfig에서 옵셔을 줘서 prmisc 모드를 끈 다음(eth0)

tcpdump를 실행시키면 다시 promiscous모드가

발동합니다. 원래 tcpdump를 실행하면 promiscouse 모드가

동작하나요???

그래서 tcpdump를 실행해보면 같은 특정 아이피 두개만

자꾸 잡힙니다.. 221. 어쩌구...아이피로만 자꾸 통신이

되는 듯한 내용을 보여주는데요..

이것이 지금 스니핑 당한건지 벌써 루킷이 설치된건지 궁금합니다..

어떻게 대처해야 하나요? (현재 네트워크도 안되고 있습니다.

ping도 안되고, ssh 접속도 안되네요.서버 내용이 중요한 것들이

많이 있습니다...프로젝트 및..개인적인 내용들.. 이런것을 어떻게

백업해야 할지요...?)

codebank의 이미지

가능하다면 네트워크 선을 뽑고 single모드로 다시 부팅한 후에 chkrootkit을 설치해서
어떤 rootkit이 설치되었는지를 확인해 보는게 좋겠죠.
불가능하다면 서버에서 직접 필요없는 프로세서를 끝내는 방법밖에는...

어찌되었든 서버가 점령당했다면 다른 일도 할 수가 없는 상황이거고 중요한 문서가
있다면 더욱 네트워크 라인을 끊어서 외부 유출을 줄여주는게 중요할 겁니다.

------------------------------
좋은 하루 되세요.

opt의 이미지

kjw7945 wrote:

ifconfig에서 옵셔을 줘서 prmisc 모드를 끈 다음(eth0)

tcpdump를 실행시키면 다시 promiscous모드가

발동합니다. 원래 tcpdump를 실행하면 promiscouse 모드가

동작하나요???

tcpdump 프로그램은 네트워크를 sniffing 하는 프로그램이며, 실행 시 랜카드의 promiscous 모드를 setting 합니다.

정상적인 결과라고 생각합니다.

kjw7945 wrote:
ping도 안되고, ssh 접속도 안되네요.

이 문제와 위의 상황은 다른 원인으로 인해 발생한 것으로 보입니다.

----
LUX ET VERITAS | Just for Fun!

익명 사용자의 이미지

다른 서버를 기준으로 테스트 해보았습니다.
(fedora core 3 배포판 기본 설치..정도?)

아무래도 스니핑이 맞는 듯 하기도 하고 아니면 루킷에 벌써 당한건지

의심이 갑니다..

제가 다른 서버에서 테스트 해본 내용은

tcpdump를 실행시킨 후 동시에 ifconfig를 실행시켜보거나

혹은 ifconfig에서 promisc모드를 끈 후 tcpudmp를 실행 시켜보았습니다

그런데 그 곳에서는 자동으로 promisc 모드가 켜지지 않더군요..

현재 의심적은 부분은 이미 tcpdump나 ifconfig가 당한 듯 싶네요..

현재 계획으로는 배포판 시디를 이용해서 다시 중요 명령어만(ifconfig와

tcpdump만 우선..) 깔 수 있다면 설치를 시도해볼까 합니다..

innu의 이미지

랜선부터 뽑으세요

Debian Spirit !!!

익명 사용자의 이미지

랜선을 뽑은 후 다시 낀 후 시동하니

잘 되는군요..

이것을 어떻게 해석해야 할지....

그대로 써도 될련지...영 찝찝하군요...

kjw7945의 이미지

자문 자답인지..

tcpdump가...

스니핑 하는 프로그램이었습니다.

제가 테스트 해본 것은 외부에서 터미널 접속 프로그램을 통해서

보았을 때는 promisc모드가 뜨지 않았던 것이었고

실제 컴퓨터(콘솔)에서 실행 시키면 eth0 promisc 모드가

발동한다는 메시지를 보내네요..

따라서...

네트워크가 잠시(?) 한 8시간 안되었던...ㅠㅠ

그런 이유는 다른 이유에서 였던 것으로 판단됩니다...

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.