Къде ми отива трафика?

vladinc

New Member
За 3 дни имам около 70 ГБ трафик .. сайтовете не са чак толкова натоварени за да оправдаят толкова много трафик..
Проверих за rooktits , всичко е чисто..
Има ли начин да разбера къде всичкият този трафик е отишъл или какво го е използвало ?
Може и да е бъг в статистиката, но знам ли ..

 

s1yf0x

Well-Known Member
От: Къде ми отива трафика?

CentOS/Debian/Windows ? Версия ? Apache/Nginx ? Нещо за /var/logs ? Или примерно стартирани процеси на машината? Има ли streaming ? Има ли файлов хостинг - потребители да качват / свалят файлове? Имаш ли anonymous ftp разрешен или не? Искренно се надявам, че WHMCS-а не ти трябва за това, за което е предназначен, защото ще бъде голямо приключение.
 

vladinc

New Member
От: Къде ми отива трафика?

Извинявай , аз не знам и къде да почна да гледам :)
Centos 5.9
cat /proc/version : Linux version 3.8.13-xxxx-std-ipv6-64 ([email protected]) (gcc version 4.7.2 (Debian 4.7.2-5) ) #1 SMP Mon May 13 11:12:59 CEST 2013
cat /etc/*release : CentOS release 5.9 (Final)

httpd -V
Код:
 httpd -v
Server version: Apache/2.2.3
Server built:  May 13 2013 18:01:57
[[email protected] ~]# httpd -V
Server version: Apache/2.2.3
Server built:  May 13 2013 18:01:57
Server's Module Magic Number: 20051115:3
Server loaded: APR 1.2.7, APR-Util 1.2.7
Compiled using: APR 1.2.7, APR-Util 1.2.7
Architecture:  64-bit
Server MPM:   Prefork
 threaded:   no
  forked:   yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/prefork"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT="/etc/httpd"
 -D SUEXEC_BIN="/usr/sbin/suexec"
 -D DEFAULT_PIDLOG="run/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="logs/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

ps -x
Код:
 ps -x
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
 PID TTY   STAT  TIME COMMAND
  1 ?    Ss   0:12 init [3]
  2 ?    S   0:00 [kthreadd]
  3 ?    S   0:06 [ksoftirqd/0]
  5 ?    S<   0:00 [kworker/0:0H]
  7 ?    S<   0:00 [kworker/u:0H]
  8 ?    S   0:02 [migration/0]
  9 ?    S   0:00 [rcu_bh]
  10 ?    S   2:51 [rcu_sched]
  11 ?    S   0:05 [ksoftirqd/1]
  12 ?    S   0:03 [migration/1]
  14 ?    S<   0:00 [kworker/1:0H]
  15 ?    S   0:07 [ksoftirqd/2]
  16 ?    S   0:02 [migration/2]
  18 ?    S<   0:00 [kworker/2:0H]
  19 ?    S   0:04 [ksoftirqd/3]
  20 ?    S   0:03 [migration/3]
  22 ?    S<   0:00 [kworker/3:0H]
  23 ?    S<   0:00 [cpuset]
  24 ?    S<   0:00 [khelper]
  25 ?    S   0:00 [kdevtmpfs]
  26 ?    S<   0:00 [netns]
 488 ?    S   0:00 [bdi-default]
 489 ?    S<   0:00 [kintegrityd]
 491 ?    S<   0:00 [kblockd]
 612 ?    S<   0:00 [ata_sff]
 622 ?    S   0:00 [khubd]
 632 ?    S<   0:00 [md]
 736 ?    S<   0:00 [rpciod]
 738 ?    S<   0:00 [kvm-irqfd-clean]
 777 ?    S   1:19 [kswapd0]
 778 ?    SN   0:00 [ksmd]
 849 ?    S   0:00 [fsnotify_mark]
 873 ?    S<   0:00 [nfsiod]
 879 ?    S<   0:00 [cifsiod]
 895 ?    S   0:00 [jfsIO]
 896 ?    S   0:00 [jfsCommit]
 897 ?    S   0:00 [jfsCommit]
 898 ?    S   0:00 [jfsCommit]
 899 ?    S   0:00 [jfsCommit]
 900 ?    S   0:00 [jfsSync]
 908 ?    S<   0:00 [xfsalloc]
 909 ?    S<   0:00 [xfs_mru_cache]
 910 ?    S<   0:00 [xfslogd]
 914 ?    S<   0:00 [ocfs2_wq]
 917 ?    S<   0:00 [user_dlm]
 927 ?    S<   0:00 [glock_workqueue]
 928 ?    S<   0:00 [delete_workqueu]
 935 ?    S<   0:00 [gfs_recovery]
 939 ?    S<   0:00 [crypto]
 970 ?    S<   0:00 [kthrotld]
 1610 ?    S<   0:00 [drbd-reissue]
 1640 ?    S<   0:00 [iscsi_eh]
 1658 ?    S   0:00 [kworker/3:2]
 1677 ?    S   0:00 [scsi_eh_0]
 1680 ?    S   0:00 [scsi_eh_1]
 1683 ?    S   0:00 [scsi_eh_2]
 1686 ?    S   0:00 [scsi_eh_3]
 1689 ?    S   0:00 [kworker/u:3]
 1690 ?    S   0:02 [kworker/u:4]
 1707 ?    S<   0:00 [bond0]
 1777 ?    S<   0:00 [vfio-irqfd-clea]
 1825 ?    S<   0:00 [kpsmoused]
 1851 ?    S<   0:00 [dm_bufio_cache]
 1852 ?    S<   0:00 [kdelayd]
 1853 ?    S<   0:00 [kmpathd]
 1854 ?    S<   0:00 [kmpath_handlerd]
 1858 ?    S<   0:00 [edac-poller]
 1920 ?    S<   0:00 [deferwq]
 1923 ?    S<   0:04 [kworker/1:1H]
 1924 ?    S<   0:04 [kworker/0:1H]
 1925 ?    S   1:13 [kjournald]
 1926 ?    S<   0:04 [kworker/3:1H]
 1927 ?    S<   0:04 [kworker/2:1H]
 1995 ?    S<s  0:00 /sbin/udevd -d
 2161 ?    S   0:00 [kworker/0:0]
 2469 ?    S   0:08 [kworker/3:1]
 2934 ?    S   0:00 [kworker/2:1]
 3948 ?    S   1:10 [flush-8:0]
 4165 ?    S   0:00 [kworker/1:1]
 4371 ?    S   0:04 [kjournald]
 4512 ?    S<Lsl  0:00 iscsiuio
 4516 ?    Ss   0:26 iscsid
 4517 ?    S<Ls  1:40 iscsid
 4909 ?    Ss   0:12 syslogd -m 0
 4913 ?    Ss   0:00 klogd -x
 5115 ?    Ssl  1:14 pcscd
 5152 ?    Ss   0:00 cupsd
 5199 ?    S   0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --socke
 5520 ?    Ss   0:00 sshd: [email protected]/0
 5525 pts/0  Ss   0:00 -bash
 5619 ?    S   0:00 [kworker/3:0]
 5694 pts/0  R+   0:00 ps -x
 5754 ?    Ss   0:39 sendmail: accepting connections
 5776 ?    Ss   0:00 gpm -m /dev/input/mice -t exps2
 5828 ?    Ss   0:14 crond
 5912 ?    S   35:12 Xvnc :3 -desktop ks3290844.kimsufi.com:3 (root) -httpd /usr/s
 5927 ?    S   0:00 /bin/sh /usr/bin/startkde
 5970 ?    Ss   0:05 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session /
 5972 ?    Sl  19:44 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2
 5975 ?    S   0:00 /usr/bin/dbus-launch --exit-with-session /etc/X11/xinit/Xclie
 5979 ?    Ss   0:00 /bin/dbus-daemon --fork --print-pid 4 --print-address 6 --ses
 6007 ?    S   4:37 /usr/libexec/gam_server
 6067 ?    Ss   0:00 /usr/sbin/atd
 6154 ?    S   0:00 hald-runner
 6182 ?    Ss   0:00 kdeinit Running...
 6185 ?    S   0:01 dcopserver --nosid
 6187 ?    S   0:09 klauncher [kdeinit] --new-startup
 6191 ?    S   0:29 kded --new-startup
 6232 ?    SN   0:04 /usr/bin/python -tt /usr/sbin/yum-updatesd
 6234 ?    S   0:00 /usr/sbin/smartd -q never
 6238 tty1   Ss+  0:00 /sbin/mingetty tty1
 6239 tty2   Ss+  0:00 /sbin/mingetty tty2
 6240 tty3   Ss+  0:00 /sbin/mingetty tty3
 6241 tty4   Ss+  0:00 /sbin/mingetty tty4
 6242 tty5   Ss+  0:00 /sbin/mingetty tty5
 6243 tty6   Ss+  0:00 /sbin/mingetty tty6
 6264 ?    S   0:28 kwrapper ksmserver
 6266 ?    S   0:00 ksmserver
 6267 ?    S   0:19 kwin
 6273 ?    S   0:19 kdesktop
 6283 ?    S   9:27 kicker
 6309 ?    S   9:50 /usr/bin/artsd -F 10 -S 4096 -s 60 -m artsmessage -c drkonqi
 6312 ?    S   0:00 nm-applet --sm-disable
 6313 ?    S   0:00 kaccess
 6327 ?    Sl   3:57 ./escd --key_Inserted="/usr/bin/esc" --on_Signal="/usr/bin/es
 6329 ?    S   0:00 /usr/sbin/nm-system-settings --config /etc/NetworkManager/nm-
 8015 ?    S   0:00 /usr/libexec/gconfd-2 12
 8658 ?    S   0:00 [kworker/0:2]
13937 ?    S   0:00 kio_uiserver
13989 ?    S   21:08 knotify [kdeinit]
18885 ?    S   0:19 [kworker/2:2]
23682 ?    S   0:00 kio_file [kdeinit] file /tmp/ksocket-root/klauncherMBKIZb.sla
26131 ?    Ss   0:06 /usr/sbin/httpd
26909 ?    S   0:03 /usr/libexec/notification-daemon
27208 ?    S   0:00 /usr/libexec/gnome-vfs-daemon
27212 ?    Ssl  0:00 /usr/libexec/bonobo-activation-server --ac-activate --ior-out
27240 ?    Ss   0:01 /usr/sbin/sshd
28049 ?    S   0:13 [kworker/1:0]

Няма стреаминг,няма файлов хостинг, няма фтп въобще, WHMCS не е за този сървър
 

rds100

Premium
А през VNC-то случайно да си бил логнат по веремето, когато на графиките показва че е имало голям трафик?
 

rds100

Premium
Ами остава да изчакаш големия трафик да се появи пак и в момента в който се появи да пускаш tcpdump, за да видиш за какво става дума.
 

rds100

Premium
Абе като цяло тия 70ГБ за 3 дена нищо не са, при положение че лимита ти е 5000ГБ / месец. Ако караш със същото темпо няма да използваш и 15% от месечния си лимит.
 

vladinc

New Member
От: Къде ми отива трафика?

мда, предполагам си прав.. но все пак това е огромно увеличение в сравнение с предишни периоди .. просто се чудех дали е нормално за 3 сайта , които не са кой знае колко посещавани.
а и има 30 ГБ увеличение за един ден .. вчера като го гледах беше 50 гб трафика..
 

rds100

Premium
Абе не е нормално а и то по графиките си личи, че този трафик не е бил от някакви случайни отваряния на уеб сайтове а е било някакво теглене с постоянна скорост в продължение на няколко часа.
Да нямаш някакъв скрипт дето да прави бекъпи примерно?
 

s1yf0x

Well-Known Member
От: Къде ми отива трафика?

Сигурен ли си, че е от сайтове? Имаш ли пощенски сървър на машината - postfix / exim / qmail ? С какво следиш посещенията - с JS брояч или нещо, което чете информацията от логовете на сървъра?
 

TheCrazyBastard

Well-Known Member
От: Къде ми отива трафика?

Чувал съм, че има варианти да ти прикачат някакъв чужд трафик, за да ти скапят машината.. Поне един приятел имаше преди време подобен проблем като му бяха закачили половин милион руснаци дневно.. Тогава плати доста пари на друга браточка да му спретне някаква защита от подобни щуротии.. Или пък плаща 2-3 месеца за нещо си, докато го оставят на мира..
 

vladinc

New Member
От: Къде ми отива трафика?

Да нямаш някакъв скрипт дето да прави бекъпи примерно?
да , има , но бекъпа е 700 мб и се изпраща за има няма 5 минути , веднъж дневно е крон-а

Сигурен ли си, че е от сайтове? Имаш ли пощенски сървър на машината - postfix / exim / qmail ? С какво следиш посещенията - с JS брояч или нещо, което чете информацията от логовете на сървъра?

не съм сигурен , ето защо пуснах руткит проверка , която излезе чиста..
Пощенски сървър нямам , до колкото си спомням не съм инсталирал нищо подобно .. за посещенията имам аналитикса на гошо , но пак казвам че е малко вероятно да е от хттп трафик, всички сайтове ползват Cloudflare за CDN
 

rds100

Premium
Re: От: Къде ми отива трафика?

Пощенски сървър нямам , до колкото си спомням не съм инсталирал нищо подобно ..

Абе ти сигурен ли си, че нямаш? 5.135.184.7 ли ти е ИП-то? Защото на него има пуснати pop3 и imap сървъри.
 

kokaracha

Member
От: Къде ми отива трафика?

Нищо не ти коства да си пуснеш един vnstat локално на машината,за всеки случай.Днс ако имаш на тази машина е добре да го си го провериш дали е отворен,напоследък върви една модерна зайгравка с него,която навърта доста трафик.
PTR/rDNS/resolver ми е направил 1013.56 TB за месец или поне така казва SolusVM панела :)


vnstat
vnstat -h, --hours / Show traffic for the last 24 hours.
vnstat -d, --days / Show traffic for days.
vnstat -m, --months / Show traffic for months.
Код:
vnstat
Database updated: Mon Jun 3 10:35:01 2013

  venet0 since 03/18/13

     rx: 60.23 GiB   tx: 80.12 GiB   total: 140.36 GiB

  monthly
           rx   |   tx   |  total  |  avg. rate
   ------------------------+-------------+-------------+---------------
    May '13   20.60 GiB |  25.22 GiB |  45.82 GiB | 143.52 kbit/s
    Jun '13   1.44 GiB |  1.69 GiB |  3.14 GiB | 124.76 kbit/s
   ------------------------+-------------+-------------+---------------
   estimated   17.75 GiB |  20.79 GiB |  38.54 GiB |

  daily
           rx   |   tx   |  total  |  avg. rate
   ------------------------+-------------+-------------+---------------
   yesterday  298.05 MiB | 353.15 MiB | 651.20 MiB |  61.74 kbit/s
     today  377.66 MiB | 415.30 MiB | 792.96 MiB | 170.49 kbit/s
   ------------------------+-------------+-------------+---------------
   estimated    854 MiB |   941 MiB |  1.75 GiB |vnstat -d

 venet0 / daily

     day     rx   |   tx   |  total  |  avg. rate
   ------------------------+-------------+-------------+---------------
   05/05/13  335.51 MiB | 379.29 MiB | 714.80 MiB |  67.77 kbit/s
   05/06/13  518.98 MiB | 663.46 MiB |  1.15 GiB | 112.11 kbit/s
   05/07/13  418.62 MiB | 526.60 MiB | 945.22 MiB |  89.62 kbit/s
   05/08/13  420.98 MiB | 504.88 MiB | 925.86 MiB |  87.78 kbit/s
   05/09/13  409.87 MiB | 485.35 MiB | 895.22 MiB |  84.88 kbit/s
   05/10/13  412.13 MiB | 488.96 MiB | 901.09 MiB |  85.44 kbit/s
   05/11/13  385.26 MiB | 464.80 MiB | 850.06 MiB |  80.60 kbit/s
   05/12/13  342.68 MiB | 423.94 MiB | 766.63 MiB |  72.69 kbit/s
   05/13/13  415.02 MiB | 497.23 MiB | 912.24 MiB |  86.49 kbit/s
   05/14/13  679.50 MiB | 794.38 MiB |  1.44 GiB | 139.74 kbit/s
   05/15/13  889.45 MiB |  1.02 GiB |  1.89 GiB | 183.78 kbit/s
   05/16/13  641.65 MiB | 818.03 MiB |  1.43 GiB | 138.40 kbit/s
   05/17/13  751.49 MiB |  1.02 GiB |  1.76 GiB | 170.74 kbit/s
   05/18/13  677.64 MiB | 948.96 MiB |  1.59 GiB | 154.23 kbit/s
   05/19/13  603.82 MiB | 875.00 MiB |  1.44 GiB | 140.21 kbit/s
   05/20/13  982.22 MiB |  1.17 GiB |  2.13 GiB | 206.69 kbit/s
   05/21/13  997.05 MiB |  1.18 GiB |  2.16 GiB | 209.33 kbit/s
   05/22/13   1.02 GiB |  1.24 GiB |  2.25 GiB | 218.67 kbit/s
   05/23/13   1.03 GiB |  1.27 GiB |  2.30 GiB | 223.51 kbit/s
   05/24/13   0.98 GiB |  1.21 GiB |  2.19 GiB | 212.55 kbit/s
   05/25/13  805.11 MiB | 942.16 MiB |  1.71 GiB | 165.67 kbit/s
   05/26/13  372.37 MiB | 372.20 MiB | 744.56 MiB |  70.60 kbit/s
   05/27/13  383.10 MiB | 461.55 MiB | 844.65 MiB |  80.09 kbit/s
   05/28/13  687.39 MiB | 818.37 MiB |  1.47 GiB | 142.77 kbit/s
   05/29/13  987.74 MiB |  1.17 GiB |  2.14 GiB | 207.53 kbit/s
   05/30/13   0.99 GiB |  1.24 GiB |  2.23 GiB | 216.52 kbit/s
   05/31/13   1.01 GiB |  1.20 GiB |  2.21 GiB | 214.41 kbit/s
   06/01/13  803.33 MiB | 964.46 MiB |  1.73 GiB | 167.61 kbit/s
   06/02/13  298.05 MiB | 353.15 MiB | 651.20 MiB |  61.74 kbit/s
   06/03/13  377.66 MiB | 415.30 MiB | 792.96 MiB | 170.49 kbit/s
   ------------------------+-------------+-------------+---------------
   estimated    854 MiB |   941 MiB |  1.75 GiB |

vnstat -m

 venet0 / monthly

    month    rx   |   tx   |  total  |  avg. rate
  ------------------------+-------------+-------------+---------------
   Mar '13   10.96 GiB |  20.67 GiB |  31.63 GiB |  99.05 kbit/s
   Apr '13   27.23 GiB |  32.54 GiB |  59.77 GiB | 193.43 kbit/s
   May '13   20.60 GiB |  25.22 GiB |  45.82 GiB | 143.52 kbit/s
   Jun '13   1.44 GiB |  1.69 GiB |  3.14 GiB | 124.76 kbit/s
  ------------------------+-------------+-------------+---------------
  estimated   17.75 GiB |  20.79 GiB |  38.54 GiB |
 

s1yf0x

Well-Known Member
От: Къде ми отива трафика?

Аз не виждам какво ще му помогне vnstat :) той няма да му покаже кой точно процес е навъртял този трафик. А и от статистиките, които е показал и по пътя на логиката явно трафика е TX, а не RX. Т.е. излязъл е от сървъра, а не към сървъра. Прати някакво инфо на ЛС - IP примерно. Така само гадаем. Колко са големи като обем тези три сайта?
 

kokaracha

Member
От: Къде ми отива трафика?

В случая ще му помогне да разбера дали му е коректна статистиката и дали има някакво разминаване,за което е намекнал в началото на темата. То е ясно че от трафик статистика няма как да се определи кой е процеса който го е иницийрал,но е от полза,че отбеляза за незнаещите.
 

r.stefanov

New Member
От: Къде ми отива трафика?

nethogs

yum install nethogs

nethogs-centos-rhel.png

iptraf

yum install iptraf

154156-2.png

Nethogs може да ти покаже статистика за всеки процес в реално време. Ако ги комбинираш с някакъв мониторинг ще разбереш какво точно прави трафика и кога. А ако ти се дават пари, мога да ти препоръчам 2-3 платени услуги, които също ще ти свършат работа.
 

vladinc

New Member
От: От: Къде ми отива трафика?

Абе ти сигурен ли си, че нямаш? 5.135.184.7 ли ти е ИП-то? Защото на него има пуснати pop3 и imap сървъри.
не . не е това ИП-то , промених последните цифри
vnstat-a го сложих вчера , в момента ми отчита нормален трафик , закъснях за него :(
За днс - слагах преди време .. как да проверя дали няма проблем с т.нар "заигравка".. ?
вчера смених роот паролата ,гледам някой упорито е брутфорсфал цели 2 дни на ssh .. чудно ми е как fail2ban не го е засякъл..
в момента всичко изглежда в норма..

сложих nethogs и iptraf .. ще ги държа под око до колкото мога..

ifconfig - TX bytes - 96.4 GB..това дали е от последния рестарт до сега ?
 

r.stefanov

New Member
От: Къде ми отива трафика?

Сложи ключ и спри достъпа с пароли. Даже по-добре си направи акаунт, през който можеш да се логваш с руут ( su ) и изцяло забрани роот през ссх. Така си решаваш проблема с brute force. Аз понякога дори спирам ссх демона изцяло ако не ми трябва и се логвам през ipmi/ilo, а достъпа е само през определена мрежа.
 

Горе