Къде ми отива трафика?

vladinc

New Member
За 3 дни имам около 70 ГБ трафик .. сайтовете не са чак толкова натоварени за да оправдаят толкова много трафик..
Проверих за rooktits , всичко е чисто..
Има ли начин да разбера къде всичкият този трафик е отишъл или какво го е използвало ?
Може и да е бъг в статистиката, но знам ли ..

 
От: Къде ми отива трафика?

CentOS/Debian/Windows ? Версия ? Apache/Nginx ? Нещо за /var/logs ? Или примерно стартирани процеси на машината? Има ли streaming ? Има ли файлов хостинг - потребители да качват / свалят файлове? Имаш ли anonymous ftp разрешен или не? Искренно се надявам, че WHMCS-а не ти трябва за това, за което е предназначен, защото ще бъде голямо приключение.
 
От: Къде ми отива трафика?

Извинявай , аз не знам и къде да почна да гледам :)
Centos 5.9
cat /proc/version : Linux version 3.8.13-xxxx-std-ipv6-64 ([email protected]) (gcc version 4.7.2 (Debian 4.7.2-5) ) #1 SMP Mon May 13 11:12:59 CEST 2013
cat /etc/*release : CentOS release 5.9 (Final)

httpd -V
Код:
 httpd -v
Server version: Apache/2.2.3
Server built:   May 13 2013 18:01:57
[root@ks3290871 ~]# httpd -V
Server version: Apache/2.2.3
Server built:   May 13 2013 18:01:57
Server's Module Magic Number: 20051115:3
Server loaded:  APR 1.2.7, APR-Util 1.2.7
Compiled using: APR 1.2.7, APR-Util 1.2.7
Architecture:   64-bit
Server MPM:     Prefork
  threaded:     no
    forked:     yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/prefork"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT="/etc/httpd"
 -D SUEXEC_BIN="/usr/sbin/suexec"
 -D DEFAULT_PIDLOG="run/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="logs/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

ps -x
Код:
 ps -x
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.7/FAQ
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:12 init [3]
    2 ?        S      0:00 [kthreadd]
    3 ?        S      0:06 [ksoftirqd/0]
    5 ?        S<     0:00 [kworker/0:0H]
    7 ?        S<     0:00 [kworker/u:0H]
    8 ?        S      0:02 [migration/0]
    9 ?        S      0:00 [rcu_bh]
   10 ?        S      2:51 [rcu_sched]
   11 ?        S      0:05 [ksoftirqd/1]
   12 ?        S      0:03 [migration/1]
   14 ?        S<     0:00 [kworker/1:0H]
   15 ?        S      0:07 [ksoftirqd/2]
   16 ?        S      0:02 [migration/2]
   18 ?        S<     0:00 [kworker/2:0H]
   19 ?        S      0:04 [ksoftirqd/3]
   20 ?        S      0:03 [migration/3]
   22 ?        S<     0:00 [kworker/3:0H]
   23 ?        S<     0:00 [cpuset]
   24 ?        S<     0:00 [khelper]
   25 ?        S      0:00 [kdevtmpfs]
   26 ?        S<     0:00 [netns]
  488 ?        S      0:00 [bdi-default]
  489 ?        S<     0:00 [kintegrityd]
  491 ?        S<     0:00 [kblockd]
  612 ?        S<     0:00 [ata_sff]
  622 ?        S      0:00 [khubd]
  632 ?        S<     0:00 [md]
  736 ?        S<     0:00 [rpciod]
  738 ?        S<     0:00 [kvm-irqfd-clean]
  777 ?        S      1:19 [kswapd0]
  778 ?        SN     0:00 [ksmd]
  849 ?        S      0:00 [fsnotify_mark]
  873 ?        S<     0:00 [nfsiod]
  879 ?        S<     0:00 [cifsiod]
  895 ?        S      0:00 [jfsIO]
  896 ?        S      0:00 [jfsCommit]
  897 ?        S      0:00 [jfsCommit]
  898 ?        S      0:00 [jfsCommit]
  899 ?        S      0:00 [jfsCommit]
  900 ?        S      0:00 [jfsSync]
  908 ?        S<     0:00 [xfsalloc]
  909 ?        S<     0:00 [xfs_mru_cache]
  910 ?        S<     0:00 [xfslogd]
  914 ?        S<     0:00 [ocfs2_wq]
  917 ?        S<     0:00 [user_dlm]
  927 ?        S<     0:00 [glock_workqueue]
  928 ?        S<     0:00 [delete_workqueu]
  935 ?        S<     0:00 [gfs_recovery]
  939 ?        S<     0:00 [crypto]
  970 ?        S<     0:00 [kthrotld]
 1610 ?        S<     0:00 [drbd-reissue]
 1640 ?        S<     0:00 [iscsi_eh]
 1658 ?        S      0:00 [kworker/3:2]
 1677 ?        S      0:00 [scsi_eh_0]
 1680 ?        S      0:00 [scsi_eh_1]
 1683 ?        S      0:00 [scsi_eh_2]
 1686 ?        S      0:00 [scsi_eh_3]
 1689 ?        S      0:00 [kworker/u:3]
 1690 ?        S      0:02 [kworker/u:4]
 1707 ?        S<     0:00 [bond0]
 1777 ?        S<     0:00 [vfio-irqfd-clea]
 1825 ?        S<     0:00 [kpsmoused]
 1851 ?        S<     0:00 [dm_bufio_cache]
 1852 ?        S<     0:00 [kdelayd]
 1853 ?        S<     0:00 [kmpathd]
 1854 ?        S<     0:00 [kmpath_handlerd]
 1858 ?        S<     0:00 [edac-poller]
 1920 ?        S<     0:00 [deferwq]
 1923 ?        S<     0:04 [kworker/1:1H]
 1924 ?        S<     0:04 [kworker/0:1H]
 1925 ?        S      1:13 [kjournald]
 1926 ?        S<     0:04 [kworker/3:1H]
 1927 ?        S<     0:04 [kworker/2:1H]
 1995 ?        S<s    0:00 /sbin/udevd -d
 2161 ?        S      0:00 [kworker/0:0]
 2469 ?        S      0:08 [kworker/3:1]
 2934 ?        S      0:00 [kworker/2:1]
 3948 ?        S      1:10 [flush-8:0]
 4165 ?        S      0:00 [kworker/1:1]
 4371 ?        S      0:04 [kjournald]
 4512 ?        S<Lsl   0:00 iscsiuio
 4516 ?        Ss     0:26 iscsid
 4517 ?        S<Ls   1:40 iscsid
 4909 ?        Ss     0:12 syslogd -m 0
 4913 ?        Ss     0:00 klogd -x
 5115 ?        Ssl    1:14 pcscd
 5152 ?        Ss     0:00 cupsd
 5199 ?        S      0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --socke
 5520 ?        Ss     0:00 sshd: root@pts/0
 5525 pts/0    Ss     0:00 -bash
 5619 ?        S      0:00 [kworker/3:0]
 5694 pts/0    R+     0:00 ps -x
 5754 ?        Ss     0:39 sendmail: accepting connections
 5776 ?        Ss     0:00 gpm -m /dev/input/mice -t exps2
 5828 ?        Ss     0:14 crond
 5912 ?        S     35:12 Xvnc :3 -desktop ks3290844.kimsufi.com:3 (root) -httpd /usr/s
 5927 ?        S      0:00 /bin/sh /usr/bin/startkde
 5970 ?        Ss     0:05 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session /
 5972 ?        Sl    19:44 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2
 5975 ?        S      0:00 /usr/bin/dbus-launch --exit-with-session /etc/X11/xinit/Xclie
 5979 ?        Ss     0:00 /bin/dbus-daemon --fork --print-pid 4 --print-address 6 --ses
 6007 ?        S      4:37 /usr/libexec/gam_server
 6067 ?        Ss     0:00 /usr/sbin/atd
 6154 ?        S      0:00 hald-runner
 6182 ?        Ss     0:00 kdeinit Running...
 6185 ?        S      0:01 dcopserver --nosid
 6187 ?        S      0:09 klauncher [kdeinit] --new-startup
 6191 ?        S      0:29 kded --new-startup
 6232 ?        SN     0:04 /usr/bin/python -tt /usr/sbin/yum-updatesd
 6234 ?        S      0:00 /usr/sbin/smartd -q never
 6238 tty1     Ss+    0:00 /sbin/mingetty tty1
 6239 tty2     Ss+    0:00 /sbin/mingetty tty2
 6240 tty3     Ss+    0:00 /sbin/mingetty tty3
 6241 tty4     Ss+    0:00 /sbin/mingetty tty4
 6242 tty5     Ss+    0:00 /sbin/mingetty tty5
 6243 tty6     Ss+    0:00 /sbin/mingetty tty6
 6264 ?        S      0:28 kwrapper ksmserver
 6266 ?        S      0:00 ksmserver
 6267 ?        S      0:19 kwin
 6273 ?        S      0:19 kdesktop
 6283 ?        S      9:27 kicker
 6309 ?        S      9:50 /usr/bin/artsd -F 10 -S 4096 -s 60 -m artsmessage -c drkonqi
 6312 ?        S      0:00 nm-applet --sm-disable
 6313 ?        S      0:00 kaccess
 6327 ?        Sl     3:57 ./escd --key_Inserted="/usr/bin/esc" --on_Signal="/usr/bin/es
 6329 ?        S      0:00 /usr/sbin/nm-system-settings --config /etc/NetworkManager/nm-
 8015 ?        S      0:00 /usr/libexec/gconfd-2 12
 8658 ?        S      0:00 [kworker/0:2]
13937 ?        S      0:00 kio_uiserver
13989 ?        S     21:08 knotify [kdeinit]
18885 ?        S      0:19 [kworker/2:2]
23682 ?        S      0:00 kio_file [kdeinit] file /tmp/ksocket-root/klauncherMBKIZb.sla
26131 ?        Ss     0:06 /usr/sbin/httpd
26909 ?        S      0:03 /usr/libexec/notification-daemon
27208 ?        S      0:00 /usr/libexec/gnome-vfs-daemon
27212 ?        Ssl    0:00 /usr/libexec/bonobo-activation-server --ac-activate --ior-out
27240 ?        Ss     0:01 /usr/sbin/sshd
28049 ?        S      0:13 [kworker/1:0]

Няма стреаминг,няма файлов хостинг, няма фтп въобще, WHMCS не е за този сървър
 
А през VNC-то случайно да си бил логнат по веремето, когато на графиките показва че е имало голям трафик?
 
Ами остава да изчакаш големия трафик да се появи пак и в момента в който се появи да пускаш tcpdump, за да видиш за какво става дума.
 
Абе като цяло тия 70ГБ за 3 дена нищо не са, при положение че лимита ти е 5000ГБ / месец. Ако караш със същото темпо няма да използваш и 15% от месечния си лимит.
 
От: Къде ми отива трафика?

мда, предполагам си прав.. но все пак това е огромно увеличение в сравнение с предишни периоди .. просто се чудех дали е нормално за 3 сайта , които не са кой знае колко посещавани.
а и има 30 ГБ увеличение за един ден .. вчера като го гледах беше 50 гб трафика..
 
Абе не е нормално а и то по графиките си личи, че този трафик не е бил от някакви случайни отваряния на уеб сайтове а е било някакво теглене с постоянна скорост в продължение на няколко часа.
Да нямаш някакъв скрипт дето да прави бекъпи примерно?
 
От: Къде ми отива трафика?

Сигурен ли си, че е от сайтове? Имаш ли пощенски сървър на машината - postfix / exim / qmail ? С какво следиш посещенията - с JS брояч или нещо, което чете информацията от логовете на сървъра?
 
От: Къде ми отива трафика?

Чувал съм, че има варианти да ти прикачат някакъв чужд трафик, за да ти скапят машината.. Поне един приятел имаше преди време подобен проблем като му бяха закачили половин милион руснаци дневно.. Тогава плати доста пари на друга браточка да му спретне някаква защита от подобни щуротии.. Или пък плаща 2-3 месеца за нещо си, докато го оставят на мира..
 
От: Къде ми отива трафика?

Да нямаш някакъв скрипт дето да прави бекъпи примерно?
да , има , но бекъпа е 700 мб и се изпраща за има няма 5 минути , веднъж дневно е крон-а

Сигурен ли си, че е от сайтове? Имаш ли пощенски сървър на машината - postfix / exim / qmail ? С какво следиш посещенията - с JS брояч или нещо, което чете информацията от логовете на сървъра?

не съм сигурен , ето защо пуснах руткит проверка , която излезе чиста..
Пощенски сървър нямам , до колкото си спомням не съм инсталирал нищо подобно .. за посещенията имам аналитикса на гошо , но пак казвам че е малко вероятно да е от хттп трафик, всички сайтове ползват Cloudflare за CDN
 
Re: От: Къде ми отива трафика?

Пощенски сървър нямам , до колкото си спомням не съм инсталирал нищо подобно ..

Абе ти сигурен ли си, че нямаш? 5.135.184.7 ли ти е ИП-то? Защото на него има пуснати pop3 и imap сървъри.
 
От: Къде ми отива трафика?

Нищо не ти коства да си пуснеш един vnstat локално на машината,за всеки случай.Днс ако имаш на тази машина е добре да го си го провериш дали е отворен,напоследък върви една модерна зайгравка с него,която навърта доста трафик.
PTR/rDNS/resolver ми е направил 1013.56 TB за месец или поне така казва SolusVM панела :)


vnstat
vnstat -h, --hours / Show traffic for the last 24 hours.
vnstat -d, --days / Show traffic for days.
vnstat -m, --months / Show traffic for months.
Код:
vnstat
Database updated: Mon Jun  3 10:35:01 2013

   venet0 since 03/18/13

          rx:  60.23 GiB      tx:  80.12 GiB      total:  140.36 GiB

   monthly
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
       May '13     20.60 GiB |   25.22 GiB |   45.82 GiB |  143.52 kbit/s
       Jun '13      1.44 GiB |    1.69 GiB |    3.14 GiB |  124.76 kbit/s
     ------------------------+-------------+-------------+---------------
     estimated     17.75 GiB |   20.79 GiB |   38.54 GiB |

   daily
                     rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
     yesterday    298.05 MiB |  353.15 MiB |  651.20 MiB |   61.74 kbit/s
         today    377.66 MiB |  415.30 MiB |  792.96 MiB |  170.49 kbit/s
     ------------------------+-------------+-------------+---------------
     estimated       854 MiB |     941 MiB |    1.75 GiB |



vnstat -d

 venet0  /  daily

         day         rx      |     tx      |    total    |   avg. rate
     ------------------------+-------------+-------------+---------------
      05/05/13    335.51 MiB |  379.29 MiB |  714.80 MiB |   67.77 kbit/s
      05/06/13    518.98 MiB |  663.46 MiB |    1.15 GiB |  112.11 kbit/s
      05/07/13    418.62 MiB |  526.60 MiB |  945.22 MiB |   89.62 kbit/s
      05/08/13    420.98 MiB |  504.88 MiB |  925.86 MiB |   87.78 kbit/s
      05/09/13    409.87 MiB |  485.35 MiB |  895.22 MiB |   84.88 kbit/s
      05/10/13    412.13 MiB |  488.96 MiB |  901.09 MiB |   85.44 kbit/s
      05/11/13    385.26 MiB |  464.80 MiB |  850.06 MiB |   80.60 kbit/s
      05/12/13    342.68 MiB |  423.94 MiB |  766.63 MiB |   72.69 kbit/s
      05/13/13    415.02 MiB |  497.23 MiB |  912.24 MiB |   86.49 kbit/s
      05/14/13    679.50 MiB |  794.38 MiB |    1.44 GiB |  139.74 kbit/s
      05/15/13    889.45 MiB |    1.02 GiB |    1.89 GiB |  183.78 kbit/s
      05/16/13    641.65 MiB |  818.03 MiB |    1.43 GiB |  138.40 kbit/s
      05/17/13    751.49 MiB |    1.02 GiB |    1.76 GiB |  170.74 kbit/s
      05/18/13    677.64 MiB |  948.96 MiB |    1.59 GiB |  154.23 kbit/s
      05/19/13    603.82 MiB |  875.00 MiB |    1.44 GiB |  140.21 kbit/s
      05/20/13    982.22 MiB |    1.17 GiB |    2.13 GiB |  206.69 kbit/s
      05/21/13    997.05 MiB |    1.18 GiB |    2.16 GiB |  209.33 kbit/s
      05/22/13      1.02 GiB |    1.24 GiB |    2.25 GiB |  218.67 kbit/s
      05/23/13      1.03 GiB |    1.27 GiB |    2.30 GiB |  223.51 kbit/s
      05/24/13      0.98 GiB |    1.21 GiB |    2.19 GiB |  212.55 kbit/s
      05/25/13    805.11 MiB |  942.16 MiB |    1.71 GiB |  165.67 kbit/s
      05/26/13    372.37 MiB |  372.20 MiB |  744.56 MiB |   70.60 kbit/s
      05/27/13    383.10 MiB |  461.55 MiB |  844.65 MiB |   80.09 kbit/s
      05/28/13    687.39 MiB |  818.37 MiB |    1.47 GiB |  142.77 kbit/s
      05/29/13    987.74 MiB |    1.17 GiB |    2.14 GiB |  207.53 kbit/s
      05/30/13      0.99 GiB |    1.24 GiB |    2.23 GiB |  216.52 kbit/s
      05/31/13      1.01 GiB |    1.20 GiB |    2.21 GiB |  214.41 kbit/s
      06/01/13    803.33 MiB |  964.46 MiB |    1.73 GiB |  167.61 kbit/s
      06/02/13    298.05 MiB |  353.15 MiB |  651.20 MiB |   61.74 kbit/s
      06/03/13    377.66 MiB |  415.30 MiB |  792.96 MiB |  170.49 kbit/s
     ------------------------+-------------+-------------+---------------
     estimated       854 MiB |     941 MiB |    1.75 GiB |

vnstat -m

 venet0  /  monthly

       month        rx      |     tx      |    total    |   avg. rate
    ------------------------+-------------+-------------+---------------
      Mar '13     10.96 GiB |   20.67 GiB |   31.63 GiB |   99.05 kbit/s
      Apr '13     27.23 GiB |   32.54 GiB |   59.77 GiB |  193.43 kbit/s
      May '13     20.60 GiB |   25.22 GiB |   45.82 GiB |  143.52 kbit/s
      Jun '13      1.44 GiB |    1.69 GiB |    3.14 GiB |  124.76 kbit/s
    ------------------------+-------------+-------------+---------------
    estimated     17.75 GiB |   20.79 GiB |   38.54 GiB |
 
От: Къде ми отива трафика?

Аз не виждам какво ще му помогне vnstat :) той няма да му покаже кой точно процес е навъртял този трафик. А и от статистиките, които е показал и по пътя на логиката явно трафика е TX, а не RX. Т.е. излязъл е от сървъра, а не към сървъра. Прати някакво инфо на ЛС - IP примерно. Така само гадаем. Колко са големи като обем тези три сайта?
 
От: Къде ми отива трафика?

В случая ще му помогне да разбера дали му е коректна статистиката и дали има някакво разминаване,за което е намекнал в началото на темата. То е ясно че от трафик статистика няма как да се определи кой е процеса който го е иницийрал,но е от полза,че отбеляза за незнаещите.
 
От: Къде ми отива трафика?

nethogs

yum install nethogs

nethogs-centos-rhel.png

iptraf

yum install iptraf

154156-2.png

Nethogs може да ти покаже статистика за всеки процес в реално време. Ако ги комбинираш с някакъв мониторинг ще разбереш какво точно прави трафика и кога. А ако ти се дават пари, мога да ти препоръчам 2-3 платени услуги, които също ще ти свършат работа.
 
От: От: Къде ми отива трафика?

Абе ти сигурен ли си, че нямаш? 5.135.184.7 ли ти е ИП-то? Защото на него има пуснати pop3 и imap сървъри.
не . не е това ИП-то , промених последните цифри
vnstat-a го сложих вчера , в момента ми отчита нормален трафик , закъснях за него :(
За днс - слагах преди време .. как да проверя дали няма проблем с т.нар "заигравка".. ?
вчера смених роот паролата ,гледам някой упорито е брутфорсфал цели 2 дни на ssh .. чудно ми е как fail2ban не го е засякъл..
в момента всичко изглежда в норма..

сложих nethogs и iptraf .. ще ги държа под око до колкото мога..

ifconfig - TX bytes - 96.4 GB..това дали е от последния рестарт до сега ?
 
От: Къде ми отива трафика?

Сложи ключ и спри достъпа с пароли. Даже по-добре си направи акаунт, през който можеш да се логваш с руут ( su ) и изцяло забрани роот през ссх. Така си решаваш проблема с brute force. Аз понякога дори спирам ссх демона изцяло ако не ми трябва и се логвам през ipmi/ilo, а достъпа е само през определена мрежа.
 

Горе