Ubuntu和AlertLogic攻击通知“在IP地址上检测到进入混杂模式的设备”问题

Question

我们已经从AlertLogic (AL)那里得到了关于我们的Ubuntu20.04.5LTS的通知，这个Ubuntu20.04.5ltsoflinux实例进入了“杂乱模式”。我检查了两个linux网络接口'ip -d链接‘，它们被设置为’杂乱0‘，以及承载linux实例的VMWare ESXI主机配置有所有网络接口:杂乱模式“设置为拒绝。AL声明：

Attack Summary

Discovery / Network Sniffing

Attack Detail:
Device entering Promiscuous mode on interface ethF

Hostname: DEVICE NAME
The local host at IP_ADDRESS has been detected entering promiscuous mode. When a device interface enters promiscuous mode it captures all packets traversing the network segment the device interface is connected to Thus any sensitive data (user names, passwords etc) traversing the network that is not being sent encrypted can be captured. Whilst this activity is associated with troubleshooting by administrators (using tools like
"tepdump" and "wireshark"), it can also be indicative of unauthorised activity and should be investigated.

绝对没有软件可以在网络接口上启用这种模式，因为这是一个开箱即用的Ubuntu实例，运行一些从未接触过tcdump或wireshark的shell脚本。但是，我在/etc/passwd文件中定义了一个用户：

tcpdump:x:REMOVED:REMOVED::/nonexistent:/usr/sbin/nologin

我还只检查了一个拥有超级用户但从未运行此命令的用户。有人知道Ubuntu是否在后台使用tcpdump，什么时候和出于什么原因？

Answer 1

我认为这个问题可能已经解决了，在将Ubuntu20.04LTS升级到22.04LTS之后，无法在/var/log/syslog中看到任何关于进入杂乱模式的条目，但是如果情况发生变化，将继续检查和更新。