Hallo allerseits! Seit einiger zeit finde ich solche meldungen in /var/log/messages. Weiß jemand, was das zu bedeuten hat? Es passiert manchmal, dass plötzlich für ein paar minuten nicht einmal das pingen mehr geht, und es scheint mir dass es da ein zusammenhang gibt mit diesen meldungen. Danke Euch Cristina ---------------------------------------------------------------------------- -------------------------------------------------------------------- Jun 15 15:05:19 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1520. Jun 15 15:12:24 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1520. Jun 15 15:15:09 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1024. Jun 15 15:22:24 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1516. Jun 15 15:22:54 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1480. Jun 15 15:38:36 ins kernel: device eth0 entered promiscuous mode Jun 15 15:39:19 ins kernel: device eth0 left promiscuous mode Jun 15 15:43:02 ins kernel: device eth2 entered promiscuous mode Jun 15 15:53:32 ins kernel: device eth2 left promiscuous mode Jun 15 15:55:53 ins kernel: device eth2 entered promiscuous mode Jun 15 15:55:57 ins kernel: device eth2 left promiscuous mode Jun 15 15:56:02 ins kernel: device eth2 entered promiscuous mode Jun 15 15:57:11 ins kernel: device eth2 left promiscuous mode ---------------------------------------------------------------------------- ---------------------------------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Cristina, On Sun, Jun 18, 2000 at 04:41:24PM +0200, Cristina Stanciulescu wrote:
Hallo allerseits!
Seit einiger zeit finde ich solche meldungen in /var/log/messages. Weiß jemand, was das zu bedeuten hat? Es passiert manchmal, dass plötzlich für ein paar minuten nicht einmal das pingen mehr geht, und es scheint mir dass es da ein zusammenhang gibt mit diesen meldungen.
Promiscuous Mode heißt, daß Deine NIC sämtlichen Netzwerkverkehr 'aufzeiohnet'. D.h. die Karte liest alle Packete mit, nicht nur die an sie gerichteten. Das macht z.B. tcpdump. Zu den timeouts: Welche SuSE, welche NIC? Olli --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Oliver!
Promiscuous Mode heißt, daß Deine NIC sämtlichen Netzwerkverkehr 'aufzeiohnet'. D.h. die Karte liest alle Packete mit, nicht nur die an sie gerichteten. Das macht z.B. tcpdump.
Das heißt, wenn ich tcpdump mache, dann geht die NIC in prom.mode...?
Zu den timeouts: Welche SuSE, welche NIC?
SuSE 6.4 NICs: eth0 = 3Com905B Combo eth1,2 = 3Com509B Combo cristina --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moin Cristina, On Sun, Jun 18, 2000 at 05:22:45PM +0200, Cristina Stanciulescu wrote:
Hi Oliver!
Das heißt, wenn ich tcpdump mache, dann geht die NIC in prom.mode...?
Genau. Weil tcpdump ja den gesamten Verkehr 'mitschneidet'.
Zu den timeouts: Welche SuSE, welche NIC?
SuSE 6.4 NICs: eth0 = 3Com905B Combo eth1,2 = 3Com509B Combo
OK, den Treiber kenne ich nicht. Bei der 6.3er war ein buggy pro/100 dabei. Benutzt Du einen SuSE-Kernel, oder einen aus original-sourcen? Olli --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Cristina Stanciulescu schrieb am 18.06.2000 um 16:41:24 +0200: Hallo Cristina,
Seit einiger zeit finde ich solche meldungen in /var/log/messages. Weiß jemand, was das zu bedeuten hat? Es passiert manchmal, dass plötzlich für ein paar minuten nicht einmal das pingen mehr geht, und es scheint mir dass es da ein zusammenhang gibt mit diesen meldungen. -------------------------------------------------------------------- Jun 15 15:05:19 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1520.
das hat wohl was mit Deinem Problem zu tun.
Jun 15 15:38:36 ins kernel: device eth0 entered promiscuous mode Jun 15 15:39:19 ins kernel: device eth0 left promiscuous mode
das ist normalerweise nichts bewegendes. Kann sein das Du vielleicht tcpdump oder andere Programme dieser Art hast laufen lassen um Deine Ping-Probleme zu verfolgen? Diese Progs. schalten die Karte in diesen Modus. Ist aber auch eine andere Netzwerkarte als die die Probleme macht. Bis denne, Michael -- "If you play this stuff backwards, it says 'This sucks!'" Beavis & Butthead --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo. Könnte auch auf eine Attacke von außerhalb hinweisen. Michael Schulz schrieb:
Cristina Stanciulescu schrieb am 18.06.2000 um 16:41:24 +0200:
Hallo Cristina,
Seit einiger zeit finde ich solche meldungen in /var/log/messages. Weiß jemand, was das zu bedeuten hat? Es passiert manchmal, dass plötzlich für ein paar minuten nicht einmal das pingen mehr geht, und es scheint mir dass es da ein zusammenhang gibt mit diesen meldungen. -------------------------------------------------------------------- Jun 15 15:05:19 ins kernel: eth1: transmit timed out, Tx_status 00 status 2000 Tx FIFO room 1520.
das hat wohl was mit Deinem Problem zu tun.
Jun 15 15:38:36 ins kernel: device eth0 entered promiscuous mode Jun 15 15:39:19 ins kernel: device eth0 left promiscuous mode
das ist normalerweise nichts bewegendes. Kann sein das Du vielleicht tcpdump oder andere Programme dieser Art hast laufen lassen um Deine Ping-Probleme zu verfolgen? Diese Progs. schalten die Karte in diesen Modus.
ACK! Kann jedoch durchaus eine Scannerattacke von außerhalb sein, um eventuelle Sicherheitslücken in Deinem System auszukundschaften. Bekannte Scanner sind: Nessus, Saint (im Package sec auf den SuSE-CDs),Cops, ISS,nmap,... Wenn Du mehr darüber wissen willst kann ich Dir folgendes Buch sehr empfehlen: MAXIMUM LINUX SECURITY, A Hacker's Guide To Protecting Your Linux Server And Workstation; erschienen im Verlag SAMS; Autor: Anonymous Gruß Josef -- Software- und Internetsupport Schauer Tel.:+43 676 4304414 Nasserein 506a/5 Fax.:+43 5446 2375 A-6580 St.Anton am Arlberg mail.: office.sis@aon.at --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 19-Jun-00 Josef Schauer wrote:
ACK! Kann jedoch durchaus eine Scannerattacke von außerhalb sein, um eventuelle Sicherheitslücken in Deinem System auszukundschaften. Bekannte Scanner sind: Nessus, Saint (im Package sec auf den SuSE-CDs),Cops, ISS,nmap,... ^^^^
Wieso siehst du einen Port-Scan mit nmap als Attacke an? Wie soll man sonst nachschauen, was für Dienste ein Rechner anbietet? Damit bricht man ja noch nicht ein! Hendrik Sattler --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Gude, At 11:52 19.06.2000 +0200, Hendrik Sattler wrote:
Wieso siehst du einen Port-Scan mit nmap als Attacke an? Wie soll man sonst nachschauen, was für Dienste ein Rechner anbietet? Damit bricht man ja noch nicht ein!
ein Portscan ist meistens die Vorbereitung einer Attacke. Um festzustellen was ueberhaupt auf der Maschine laeuft, und dann die entsprechenden Exploits zu besorgen oder so.... ciao --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 19-Jun-00 Matthias Strack wrote:
Gude,
At 11:52 19.06.2000 +0200, Hendrik Sattler wrote:
Wieso siehst du einen Port-Scan mit nmap als Attacke an? Wie soll man sonst nachschauen, was für Dienste ein Rechner anbietet? Damit bricht man ja noch nicht ein!
ein Portscan ist meistens die Vorbereitung einer Attacke. Um festzustellen was ueberhaupt auf der Maschine laeuft, und dann die entsprechenden Exploits zu besorgen oder so....
...oder um zu sehen, ob man neben http auch ftp o.ä. nutzen kann, ohne einen client für jedes Protokoll bemühen zu müssen. Es gibt außer Attacken noch andere Dinge, die man mit solchen Tools machen kann. Wenn man das so wie du betrachtet, dann setz ne Firewall auf die nichts durchläßt, schließlich hat auch sendmail und co. seine Sicherheitslöcher, un die eingestzte Firewall wahrscheinlich auch. Darf deswegen niemand mehr auf deinen smtp-port zugreifen? Es könnte schließlich eine potentielle Attacke sein! DAS ist echtes Paranoia. Solche Exploits kann man auch ohne portscan ausprobieren. Hendrik Sattler PS: Zieh doch einfach das Netzwerkkabel, dann ist dein Rechner gaaanz sicher. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Hendrik Sattler (ubq7@rz.uni-karlsruhe.de) [20000619 13:08]:
Wenn man das so wie du betrachtet, dann setz ne Firewall auf die nichts durchläßt,
Au ja! Und dann nach dem Vorbild einiger grosser Firmen auch gleich ICMP
komplett (also inclusive ICMP_FRAG_NEEDED) sperren. Zeugt immer von
Administratoren die ihr Handwerk verstehen >;->
Philipp
--
Philipp Thomas
Hallo Hendrik Hendrik Sattler schrieb:
On 19-Jun-00 Matthias Strack wrote:
...oder um zu sehen, ob man neben http auch ftp o.ä. nutzen kann, ohne einen client für jedes Protokoll bemühen zu müssen. Es gibt außer Attacken noch andere Dinge, die man mit solchen Tools machen kann.
ACK!ACK!
Christina hat ja nur gefragt was die Eintragung in /var/log/messages zu bedeuten hat. Da ist ja nirgends die Rede, daß bewußt nmap o.ä. eingesetzt wird. Da wird man doch noch darauf hinweisen dürfen, daß es sich u.u. auch um einen Portscan handeln kann, um Sicherheitslücken herauszufinden. Damit sage ich ja noch lange nicht, daß man nmap (wie bereits angeführt) auch für andere nützliche Dinge benutzen kann ;-)
Muß man mir deshalb das Selbe mail zweimal per PM zukommen lassen? ... Josef -- Software- und Internetsupport Schauer Tel.:+43 676 4304414 Nasserein 506a/5 Fax.:+43 5446 2375 A-6580 St.Anton am Arlberg mail.: office.sis@aon.at --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 19 Jun 2000, Hendrik Sattler wrote:
On 19-Jun-00 Josef Schauer wrote:
ACK! Kann jedoch durchaus eine Scannerattacke von außerhalb sein, um eventuelle Sicherheitslücken in Deinem System auszukundschaften. Bekannte Scanner sind: Nessus, Saint (im Package sec auf den SuSE-CDs),Cops, ISS,nmap,...
^^^^
Wieso siehst du einen Port-Scan mit nmap als Attacke an? Wie soll man sonst nachschauen, was für Dienste ein Rechner anbietet? Damit bricht man ja noch nicht ein!
Naja, zumindest kann man so etwas "sehr unhöflich" nennen. Strafbar ist das noch nicht. Ist aber ähnlich wie "Herr Wachtmeister, der will mich umbringen." -- "Solange er es nicht tut, können wir gar nichts machen.". Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (8)
-
antwerpen@gmx.de
-
cmeyer@mail.com
-
cst@wohlmann.at
-
micha28@gmx.de
-
office.sis@aon.at
-
pthomas@suse.de
-
suse@egelsbach.nu
-
ubq7@rz.uni-karlsruhe.de