Skocz do zawartości
Inferno

Za duży ruch na serwerze

Polecane posty

Witam wszystkich,

 

mam problem, którego efektem jest ucieczka ponad 300 gb (już po odliczeniu usprawiedliwionego ruchu) transferu w ciągu około 10 dni. Sytuacja występuje od niedawna. Po przeglądnięciu logów okazało się, że shh obrywa oczywiście próbami logowań ale te ataki były hamowane przez fail2ban. Wątpie żeby same próby logowania wygenerowały aż tyle ruchu więc szukałem dalej (zmieniłem dodatkowo port ssh). Po obejrzeniu logów iftop (poniżej) okazało się, że wysyłam stały minimalny ruch (prawdopodobnie spike'ujący wyżej) około 90kB/s. Co dziwne odbiorcami tego ruchu są hosty o nazwach : web.highlinefinance.com oraz rdns.ubiquityservers.com. Szczegóły widać na screenie więc nie będę się o tym rozpisywał. Cała maszyna stoi na CentOS pod wodzą ISPConfig 3. Teraz moje pytanie do was : Czy ktoś może pomóc zidentyfikować ten ruch? Czy jest to spam czy coś innego? Blokować, nie blokować czy są to jakieś zapytania dns? I Dlaczego z dopiskami :domain i :vid (czasem filenet-rpc)? Jakich narzędzi mogę jeszcze użyć żeby to sprawdzić bo z tcpdumpa nie udało mi się dużo wyciągnąć. Z góry dzięki wszystkim pomocnym.

 

Pozdrawiam

post-16068-0-40378200-1344415928.png

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

PS Ten zrzut ekranu to z jakiego narzędzia cli?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aha, myślałem, że bmon. Dzięki :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem zaczyna mnie o tyle wkurzać, że nie udało mi się na razie nawet zablokować tych połączeń. Dodawanie obu ip do iptables (212.117.161.222, 23.19.228.51) nic nie daje. Iptables zapisane, restartowane i dalej nic.

 

Przykład polecenia, ktorego użyłem : iptables -A OUTPUT -d 212.117.161.222 -j DROP. I kompletny brak reakcji.

 

Edit : uruchomiłem bastille firewall wbudowany w ispconfig otwarte są tylko ściśle określone porty a te 2 wpisy jak hulały po portach tak hulają. Zmieniają się co parę sekund i przeważnie są to porty 32XXX,18XXX,61XXX.

Edytowano przez Inferno (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok udało mi się w pewien sposób dojść do źródła problemu choć kosztowało mnie to trochę czasu i muszę przyznać, że w sieci ciężko doszukać się podobnych problemów chyba że od początku wie się gdzie leży błąd (może to ja jestem noobem i ludzie nie mają takich przeszkód :D nie wiem). Ruch generował mój serwer DNS. W iftop przy odpowiednim wywołaniu pokazały się porty 53 co skierowało mnie w stronę named na moim centosie. Okazało się, że miałem po prostu otwartą rekursywność (chyba tak to się poprawnie nazywa) bez limitów co w praktyce oznacza, że każdy mógł sobię mnie dowoli odpytywać i wywoływać tony gigabajtów wprost wyfruwające z mojego serwera. Po wstawieniu formułki allow-recursion { 127.0.0.1; }; do configu named, zniknęły z iftop'a odpytania na wszystkich innych portach oprócz 53 a ruch z 600-1300kbitów/s zmalał do 14,5kbitów/s. Nie wiem co prawda czy to już definitywne zakończenie problemu czy może da się to jeszcze bardziej ograniczyć jednak nie mniej zamiast 300gb w 10 dni stracę około 1,5gb więc nie jest źle.

 

PS przepraszam za double posta ale chciałem rozwiązanie zamieścić osobno zamiast w 3 edicie z kolei.

Edytowano przez Inferno (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×