mam problem, którego efektem jest ucieczka ponad 300 gb (już po odliczeniu usprawiedliwionego ruchu) transferu w ciągu około 10 dni. Sytuacja występuje od niedawna. Po przeglądnięciu logów okazało się, że shh obrywa oczywiście próbami logowań ale te ataki były hamowane przez fail2ban. Wątpie żeby same próby logowania wygenerowały aż tyle ruchu więc szukałem dalej (zmieniłem dodatkowo port ssh). Po obejrzeniu logów iftop (poniżej) okazało się, że wysyłam stały minimalny ruch (prawdopodobnie spike'ujący wyżej) około 90kB/s. Co dziwne odbiorcami tego ruchu są hosty o nazwach : web.highlinefinance.com oraz rdns.ubiquityservers.com. Szczegóły widać na screenie więc nie będę się o tym rozpisywał. Cała maszyna stoi na CentOS pod wodzą ISPConfig 3. Teraz moje pytanie do was : Czy ktoś może pomóc zidentyfikować ten ruch? Czy jest to spam czy coś innego? Blokować, nie blokować czy są to jakieś zapytania dns? I Dlaczego z dopiskami :domain i :vid (czasem filenet-rpc)? Jakich narzędzi mogę jeszcze użyć żeby to sprawdzić bo z tcpdumpa nie udało mi się dużo wyciągnąć. Z góry dzięki wszystkim pomocnym.
Za duży ruch na serwerze
w Serwery WWW
Napisano · Raportuj odpowiedź
Witam wszystkich,
mam problem, którego efektem jest ucieczka ponad 300 gb (już po odliczeniu usprawiedliwionego ruchu) transferu w ciągu około 10 dni. Sytuacja występuje od niedawna. Po przeglądnięciu logów okazało się, że shh obrywa oczywiście próbami logowań ale te ataki były hamowane przez fail2ban. Wątpie żeby same próby logowania wygenerowały aż tyle ruchu więc szukałem dalej (zmieniłem dodatkowo port ssh). Po obejrzeniu logów iftop (poniżej) okazało się, że wysyłam stały minimalny ruch (prawdopodobnie spike'ujący wyżej) około 90kB/s. Co dziwne odbiorcami tego ruchu są hosty o nazwach : web.highlinefinance.com oraz rdns.ubiquityservers.com. Szczegóły widać na screenie więc nie będę się o tym rozpisywał. Cała maszyna stoi na CentOS pod wodzą ISPConfig 3. Teraz moje pytanie do was : Czy ktoś może pomóc zidentyfikować ten ruch? Czy jest to spam czy coś innego? Blokować, nie blokować czy są to jakieś zapytania dns? I Dlaczego z dopiskami :domain i :vid (czasem filenet-rpc)? Jakich narzędzi mogę jeszcze użyć żeby to sprawdzić bo z tcpdumpa nie udało mi się dużo wyciągnąć. Z góry dzięki wszystkim pomocnym.
Pozdrawiam