Za duży ruch na serwerze

[Inferno 41]

Witam wszystkich,

 

mam problem, którego efektem jest ucieczka ponad 300 gb (już po odliczeniu usprawiedliwionego ruchu) transferu w ciągu około 10 dni. Sytuacja występuje od niedawna. Po przeglądnięciu logów okazało się, że shh obrywa oczywiście próbami logowań ale te ataki były hamowane przez fail2ban. Wątpie żeby same próby logowania wygenerowały aż tyle ruchu więc szukałem dalej (zmieniłem dodatkowo port ssh). Po obejrzeniu logów iftop (poniżej) okazało się, że wysyłam stały minimalny ruch (prawdopodobnie spike'ujący wyżej) około 90kB/s. Co dziwne odbiorcami tego ruchu są hosty o nazwach : web.highlinefinance.com oraz rdns.ubiquityservers.com. Szczegóły widać na screenie więc nie będę się o tym rozpisywał. Cała maszyna stoi na CentOS pod wodzą ISPConfig 3. Teraz moje pytanie do was : Czy ktoś może pomóc zidentyfikować ten ruch? Czy jest to spam czy coś innego? Blokować, nie blokować czy są to jakieś zapytania dns? I Dlaczego z dopiskami :domain i :vid (czasem filenet-rpc)? Jakich narzędzi mogę jeszcze użyć żeby to sprawdzić bo z tcpdumpa nie udało mi się dużo wyciągnąć. Z góry dzięki wszystkim pomocnym.

 

Pozdrawiam

[kaszub1136 109]

Może niezbyt wiąże się to z problemem ale gdzie masz VPSa?

Edytowano Sierpień 8, 2012 przez kaszub1136 (zobacz historię edycji)

[Inferno 41]

Może niezbyt wiąże się to z problemem ale gdzie masz VPSa?

webh.pl

[HaPe 242]

PS Ten zrzut ekranu to z jakiego narzędzia cli?

[PapaSmerf 497]

PS Ten zrzut ekranu to z jakiego narzędzia cli?

iftop w Putty

[HaPe 242]

Aha, myślałem, że bmon. Dzięki

[Inferno 41]

Problem zaczyna mnie o tyle wkurzać, że nie udało mi się na razie nawet zablokować tych połączeń. Dodawanie obu ip do iptables (212.117.161.222, 23.19.228.51) nic nie daje. Iptables zapisane, restartowane i dalej nic.

 

Przykład polecenia, ktorego użyłem : iptables -A OUTPUT -d 212.117.161.222 -j DROP. I kompletny brak reakcji.

 

Edit : uruchomiłem bastille firewall wbudowany w ispconfig otwarte są tylko ściśle określone porty a te 2 wpisy jak hulały po portach tak hulają. Zmieniają się co parę sekund i przeważnie są to porty 32XXX,18XXX,61XXX.

Edytowano Sierpień 8, 2012 przez Inferno (zobacz historię edycji)

[Inferno 41]

Ok udało mi się w pewien sposób dojść do źródła problemu choć kosztowało mnie to trochę czasu i muszę przyznać, że w sieci ciężko doszukać się podobnych problemów chyba że od początku wie się gdzie leży błąd (może to ja jestem noobem i ludzie nie mają takich przeszkód nie wiem). Ruch generował mój serwer DNS. W iftop przy odpowiednim wywołaniu pokazały się porty 53 co skierowało mnie w stronę named na moim centosie. Okazało się, że miałem po prostu otwartą rekursywność (chyba tak to się poprawnie nazywa) bez limitów co w praktyce oznacza, że każdy mógł sobię mnie dowoli odpytywać i wywoływać tony gigabajtów wprost wyfruwające z mojego serwera. Po wstawieniu formułki allow-recursion { 127.0.0.1; }; do configu named, zniknęły z iftop'a odpytania na wszystkich innych portach oprócz 53 a ruch z 600-1300kbitów/s zmalał do 14,5kbitów/s. Nie wiem co prawda czy to już definitywne zakończenie problemu czy może da się to jeszcze bardziej ograniczyć jednak nie mniej zamiast 300gb w 10 dni stracę około 1,5gb więc nie jest źle.

 

PS przepraszam za double posta ale chciałem rozwiązanie zamieścić osobno zamiast w 3 edicie z kolei.

Edytowano Sierpień 8, 2012 przez Inferno (zobacz historię edycji)