Las utilidades de sniffing como tcpdump y wireshark ponen tu tarjeta en modo promiscuo (pasan a capa 3 los frames con dirección MAC distinta a la de la tarjeta y al broadcast). Eso sí, el proceso que va a poner la interfaz en modo promiscuo debe correr con permisos de superusuario.
Exacto eso creo ke me sucedio y eso es lo que trato de averiguar como puedo saber o como hacerle para deshabilitarlo me marca: eth0 entered promiscuos mode y como por ahi me encontre un script sniffer para linux me preocupaba eso..es por eso ke deseaba saber como deshabilitarlo si estaba habilitado y viceversa como habilitarlo.
de ant mano saludos y que esten bien
pd: bueno les dejo el cript, haber que sacan ustedes que son muy cabrones.....(cabrones , no se ofendan ,en mexico significa que son muy buenos en lo que hacen,)
.....................................................................................
Aun asi despues de haber instalado los troyanos es posible detectar el sniffer,
usando un programa que acceda directamente a la tarjeta y mire si el flag
promisc esta activado. Un programa como este ;) :
sugerencia: instala el rkhunter (está en los repos de DAG/RPMFORGE) a ver qué troyano te han metido en el sistema.. pienso que por ahi es la cosa.
con sacar el modo promiscuo (que lo puedes hacer matando al que está haciendo eso) no harás mucho, debes averiguar por dónde entraron para evitar posteriores entradas.. y ver que no te hayan hecho mierda los binarios del sistema
el modo promisc se habilita para utilizar bridge en una tarjeta de red física (eth0).
para habilitar: ifconfig eth0 promisc
para deshabilitar: ifconfig eth0 -promisc
buena tu sugerencia eduardo, pero como comentario indico:
si alguien no sabe por qué tiene modo promiscuo, típicamente es porque alguien lo activó por tí... y eso no es bueno... normalmente significa atacante a la vista... claro que hay posibilidades pero los años le van dando a uno trucos, vías de acción según la forma en que preguntan o se presentan los problemas. Es una de las bases para llegar al problema rapidamente, no guiarte por las evidencias más fuertes sino por las sutilezas.
aunque en verdad, nadie quita que el afectado tan sólo ejecutó él mismo un sniffer y lo ha dejado en modo promiscuo...
Las utilidades de sniffing
Las utilidades de sniffing como tcpdump y wireshark ponen tu tarjeta en modo promiscuo (pasan a capa 3 los frames con dirección MAC distinta a la de la tarjeta y al broadcast). Eso sí, el proceso que va a poner la interfaz en modo promiscuo debe correr con permisos de superusuario.
--
haber != a ver
ha != a
Cabe recalcar que el modo
Cabe recalcar que el modo por omisión es no promiscuo y solo root lo puede cambiar, así que define bien que es lo que necesitas hacer ...
bye
:)
vaya, que si tienes modo
vaya, que si tienes modo promiscuo y no sabes cómo lo pusiste, eso casi siempre es porque alguien lo puso por tí, sin tu permiso.....
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
creo ke eso paso
Exacto eso creo ke me sucedio y eso es lo que trato de averiguar como puedo saber o como hacerle para deshabilitarlo me marca: eth0 entered promiscuos mode y como por ahi me encontre un script sniffer para linux me preocupaba eso..es por eso ke deseaba saber como deshabilitarlo si estaba habilitado y viceversa como habilitarlo.
de ant mano saludos y que esten bien
pd: bueno les dejo el cript, haber que sacan ustedes que son muy cabrones.....(cabrones , no se ofendan ,en mexico significa que son muy buenos en lo que hacen,)
.....................................................................................
Aun asi despues de haber instalado los troyanos es posible detectar el sniffer,
usando un programa que acceda directamente a la tarjeta y mire si el flag
promisc esta activado. Un programa como este ;) :
---- cortar aqui -----
#include
#include
#include
#include
#if defined (__linux__)
#include
#else
#include
#endif
#define size(p) (sizeof(p))
int dev_flags=0,
device_flags=0,
set_look_all=0;
int
main(int argc, char **argv) {
struct ifreq ifreq, *ifr;
struct ifconf ifc;
char buf[BUFSIZ], *cp, *cplim;
if(argc <= 1)
set_look_all++;
if((dev_flags = socket(PF_INET, SOCK_DGRAM, 0)) < 0) {
fprintf(stderr, "An error occured establiashing while establishing a socket\n");
perror("socket");
exit(1);
}
ifc.ifc_len = sizeof(buf);
ifc.ifc_buf = buf;
if(ioctl(dev_flags, SIOCGIFCONF, (char *)&ifc) < 0) {
perror("SIOCGIFCONF");
exit(1);
}
ifr = ifc.ifc_req;
cplim=buf+ifc.ifc_len;
for(cp = buf; cp < cplim;
cp += sizeof (ifr->ifr_name) + size(ifr->ifr_addr))
{
ifr = (struct ifreq *)cp;
if(argv[1])
if(strcmp(ifr->ifr_name, argv[1]) && !set_look_all)
continue;
ifreq = *ifr;
if(ioctl(dev_flags, SIOCGIFFLAGS, (char *)&ifreq) < 0)
{
fprintf(stderr, "SIOCGIFFLAGS: %s (get interface flags): %s\n", ifr->ifr_name,strerror(errno));
continue;
}
device_flags=0; device_flags = ifreq.ifr_flags;
fprintf(stdout, "%s: ", ifreq.ifr_name);
if((device_flags & IFF_PROMISC) != 0)
fprintf(stdout, "Promiscuous: Sniffer detected.\n");
else
fprintf(stdout, "Not-Promiscous: No Sniffers detected.\n");
if(!set_look_all)
exit(0);
else
continue;
}
if(!set_look_all)
fprintf(stdout, "%s: Unknown device.\n", argv[1]);
}
sugerencia: instala el
sugerencia: instala el rkhunter (está en los repos de DAG/RPMFORGE) a ver qué troyano te han metido en el sistema.. pienso que por ahi es la cosa.
con sacar el modo promiscuo (que lo puedes hacer matando al que está haciendo eso) no harás mucho, debes averiguar por dónde entraron para evitar posteriores entradas.. y ver que no te hayan hecho mierda los binarios del sistema
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
gracias, por el interes y la
gracias, por el interes y la ayuda prestada, dejame le busco...sale hasta luego!!
Deshabilitar
el modo promisc se habilita para utilizar bridge en una tarjeta de red física (eth0).
para habilitar: ifconfig eth0 promisc
para deshabilitar: ifconfig eth0 -promisc
buena tu sugerencia eduardo,
buena tu sugerencia eduardo, pero como comentario indico:
si alguien no sabe por qué tiene modo promiscuo, típicamente es porque alguien lo activó por tí... y eso no es bueno... normalmente significa atacante a la vista... claro que hay posibilidades pero los años le van dando a uno trucos, vías de acción según la forma en que preguntan o se presentan los problemas. Es una de las bases para llegar al problema rapidamente, no guiarte por las evidencias más fuertes sino por las sutilezas.
aunque en verdad, nadie quita que el afectado tan sólo ejecutó él mismo un sniffer y lo ha dejado en modo promiscuo...
y sí, interesante tu sugerencia!
Saludos
epe
--
NuestroServer.com
Ecuador: +(593) 9 9246504, +(593) 2 600 4454
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre