Skocz do zawartości
Zaloguj się, aby obserwować  
Gość AceDude

Dziwne dane na wykresie przepustowości

Polecane posty

Gość AceDude

Moglibyście mi pomóc to zinterpretować?

 

graphgpni8tza2.th.pngthpix.gif

 

Niezbyt mi się to podoba. Na tej maszynce mam kilka serwerów CS, które ostatnio lubią sobie podbijać pingi. Sprawdziłem sobie system chkrootkitem i Rootkit Hunterem - nic nie znalazły.

 

Dalej - ssh miałem uruchomione na standardowym porcie. Z ciekawości ostatnio najżałem do auth.log - cały czas ktoś próbuje się włamać (zarówno ktoś z pl jak i brazylii... dziwne...). Po zmianie portu mam spokój.

 

Znalazłem też coś dziwnego - jakby pozostałości po kimś (VPS od hitme):

 

udp		0	  0 91.203.133.60:26900	 0.0.0.0:*
udp		0	  0 91.203.133.60:26901	 0.0.0.0:*
udp		0	  0 91.203.133.60:26902	 0.0.0.0:*
udp		0	  0 91.203.133.60:26903	 0.0.0.0:*
udp		0	  0 91.203.133.60:26904	 0.0.0.0:*
udp		0	  0 91.203.133.60:123	   0.0.0.0:*
udp		0	  0 127.0.0.1:123		   0.0.0.0:*
udp		0	  0 0.0.0.0:123			 0.0.0.0:*
udp6	   0	  0 fe80::a800:abff:fe7:123 :::*
udp6	   0	  0 ::1:123				 :::*
udp6	   0	  0 :::123				  :::*

 

Poza tym, netstat tłumaczy moje ip na "tonylanss.vps.hitme.pl" - WTF?

 

Używam tylko sshd, ftp, wget, kilku portów serwerów gier + SQL (na jakim on działa porcie?) - także sobie zaraz firewalla zainstaluję...

 

Macie jakieś pomysły, jak się by tutaj zabezpieczyć? Przypominam - pingi są cholernie ważne.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jaka to dystrybucja? Aktualizujesz paczki?

 

Interpretacja jest taka, że około 19 przyszło sporo danych na serwer a o 12 i 9:30 ktoś coś pobrał. Nic innego nie można wyczytać.

 

Żeby zobaczyć jakie procesy nasłuchują na jakim porcie:

netstat -nutpl

 

Sprawdzenie zestawionych połączeń:

netstat -nutp

MySQL nasłuchuje na porcie 3306, przy czym np. na Debianie domyślnie można się połączyć tylko po loopbacku (127.0.0.1).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość AceDude

System to aktualny Debian Etch.

 

netstat -nutpl wygląda dobrze - serwery CS lecą na 27* i 26*, tylko po co NPD ma 6 połączeń?!

tcp		0	  0 0.0.0.0:3841			0.0.0.0:*			   LISTEN	 10158/monit
tcp		0	  0 0.0.0.0:21			  0.0.0.0:*			   LISTEN	 745/inetd
tcp		0	  0 127.0.0.1:25			0.0.0.0:*			   LISTEN	 16332/exim4
tcp6	   0	  0 :::62226				:::*					LISTEN	 15660/sshd
udp	  753	  0 91.203.133.60:27015	 0.0.0.0:*						  15546/hlds_i686
udp	  391	  0 91.203.133.60:27016	 0.0.0.0:*						  26352/hlds_i686
udp	  736	  0 91.203.133.60:27017	 0.0.0.0:*						  15965/hlds_i686
udp		0	  0 91.203.133.60:27018	 0.0.0.0:*						  13969/hlds_i686
udp	  749	  0 91.203.133.60:27025	 0.0.0.0:*						  12714/hlds_i686_
udp		0	  0 91.203.133.60:26900	 0.0.0.0:*						  12714/hlds_i686
udp		0	  0 91.203.133.60:26901	 0.0.0.0:*						  13969/hlds_i686
udp		0	  0 91.203.133.60:26902	 0.0.0.0:*						  15965/hlds_i686
udp		0	  0 91.203.133.60:26903	 0.0.0.0:*						  26352/hlds_i686
udp		0	  0 91.203.133.60:26904	 0.0.0.0:*						  15546/hlds_i686
udp		0	  0 91.203.133.60:123	   0.0.0.0:*						  773/ntpd
udp		0	  0 127.0.0.1:123		   0.0.0.0:*						  773/ntpd
udp		0	  0 0.0.0.0:123			 0.0.0.0:*						  773/ntpd
udp6	   0	  0 fe80::a800:abff:fe7:123 :::*							   773/ntpd
udp6	   0	  0 ::1:123				 :::*							   773/ntpd
udp6	   0	  0 :::123				  :::*							   773/ntpd

 

netstat -nutp mniej już mi się podoba:

 

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address		   Foreign Address		 State	   PID/Program name
tcp		0	  0 91.203.133.60:40348	 86.111.241.147:3306	 ESTABLISHED26352/hlds_i686
tcp		0	  0 91.203.133.60:54694	 86.111.241.147:3306	 ESTABLISHED13969/hlds_i686
tcp		0	  0 91.203.133.60:54719	 86.111.241.147:3306	 ESTABLISHED26352/hlds_i686
tcp		0	  0 91.203.133.60:55398	 86.111.241.147:3306	 ESTABLISHED15965/hlds_i686
tcp		0	  0 91.203.133.60:56086	 86.111.241.147:3306	 ESTABLISHED15546/hlds_i686
tcp		0	  0 91.203.133.60:56081	 86.111.241.147:3306	 ESTABLISHED15546/hlds_i686
tcp		0	  0 91.203.133.60:56125	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56124	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56123	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56122	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56121	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56120	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56119	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56118	 86.111.241.147:3306	 TIME_WAIT  -
tcp		0	  0 91.203.133.60:56041	 86.111.241.147:3306	 ESTABLISHED15965/hlds_i686
tcp6	   0   2504 ::ffff:91.203.133:62226 ::ffff:83.27.36.20:3949 ESTABLISHED26373/8
tcp6	   0	  0 ::ffff:91.203.133:62226 ::ffff:83.27.54.56:1716 ESTABLISHED15969/5
udp		0	  0 91.203.133.60:56162	 91.203.133.60:27016	 ESTABLISHED15546/hlds_i686

 

Widzę 2 połączenia do ssh, jedno chyba jest martwe (przed chwilą ip mi się zmieniło) - tylko dla czego oba mają różnie porty klienta? hm...

 

Reszta to połączenia do bazy danych (zewnętrzna) - dla czego wszystkie mają porty o tak różnych zakresach?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
netstat -nutpl wygląda dobrze - serwery CS lecą na 27* i 26*, tylko po co NPD ma 6 połączeń?!
To nie połączenia tylko adresy na których nasłuchuje Twój serwer.

 

Widzę 2 połączenia do ssh, jedno chyba jest martwe (przed chwilą ip mi się zmieniło) - tylko dla czego oba mają różnie porty klienta? hm...
Bo klient używa różnych portów źródłowych?

 

Reszta to połączenia do bazy danych (zewnętrzna) - dla czego wszystkie mają porty o tak różnych zakresach?
Bo tak.

 

Zatrudnij kogoś kto ma podstawową wiedzę, bo już widzę kolejne zombie... Poza tym skoro dobrze wiesz, że masz niezabezpiecznony serwer, to po co publikujesz tu jego IP i nowy port ssh?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam,

 

(...)

Znalazłem też coś dziwnego - jakby pozostałości po kimś (VPS od hitme):

(...)

 

 

Zabrzmiało jak negatywna opinia, a raczej chęć wystawienia negatywnej opinii o firmie :-). VPSy, które uruchamiamy startują zawsze na czystym systemie. (są instalowane przy aktywacji zamówienia dla klienta końcowego i kasowane po wygaśnięciu zamówienia).

 

 

Z tego co sprawdziłem wynika, że adres IP ma ustawiony revers jaki ma, jednak każdy klient ma możliwość ustawienia RevDNSa dla każdego przydzielonego mu adresu IP. Nie mam pojęcia dlaczego po zwolnieniu tego adresu nie został mu przywrócony standardowy revers - zostanie to sprawdzone.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×