Schon wieder hoher Traffic :(

[transmitter]

Hi .. ich bin´s nochmal.

Wie finde ich denn raus, was bzw. wo der Traffic verursacht wird?

netstat -pletunx

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 0 1450 1466/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 1687 1541/dovecot
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 1236 1330/spamd.pid
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 441349 16147/apache2
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 0 5281 2274/pure-ftpd (SER
tcp 0 0 0.0.0.0:32016 0.0.0.0:* LISTEN 0 645724 8647/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 233971 28661/exim4
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 120835 6337/clamd /var/run/clamav/clamd.ctl
unix 2 [ ACC ] STREAM LISTENING 1452 1466/mysqld /var/run/mysqld/mysqld.sock
unix 2 [ ACC ] STREAM LISTENING 441354 16148/apache2 /var/run/apache2/cgisock
unix 2 [ ACC ] STREAM LISTENING 1733 1541/dovecot /var/run/dovecot/login/default
unix 2 [ ACC ] STREAM LISTENING 441358 16149/fcgi-pm /var/run/fastcgi/2ffdc25496367c0d86f2e8189a5fc969
unix 2 [ ACC ] STREAM LISTENING 441372 16149/fcgi-pm /var/run/fastcgi/dynamic/0e4b52d6695a49232261a15d85ba65de
unix 2 [ ACC ] STREAM LISTENING 441413 16149/fcgi-pm /var/run/fastcgi/dynamic/fa2890fb8130ff3dc9fdc039195b95ca
unix 2 [ ACC ] STREAM LISTENING 441443 16149/fcgi-pm /var/run/fastcgi/dynamic/45f044d4dfcad7f2b677cadba4b63547
unix 2 [ ACC ] STREAM LISTENING 442511 16149/fcgi-pm /var/run/fastcgi/dynamic/d12465735552c0173b0c1bf8eaa1daaa
unix 2 [ ACC ] STREAM LISTENING 443885 16149/fcgi-pm /var/run/fastcgi/dynamic/06e49a9247d40e83686a7d75fd8b69da
unix 2 [ ACC ] STREAM LISTENING 444034 16149/fcgi-pm /var/run/fastcgi/dynamic/9a77021486f850534dd4bec77cfc2e6f
unix 2 [ ACC ] STREAM LISTENING 453436 16149/fcgi-pm /var/run/fastcgi/dynamic/531755f6170a700ed1393aa031d04a71
unix 2 [ ACC ] STREAM LISTENING 455044 16149/fcgi-pm /var/run/fastcgi/dynamic/acdf7195633398a85892c6b7dbe4a432
unix 2 [ ACC ] STREAM LISTENING 458123 16149/fcgi-pm /var/run/fastcgi/dynamic/2254355d9644443c69976af46e43daa1
unix 2 [ ACC ] STREAM LISTENING 430977 14183/lpd /dev/printer

lsof -i

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
spamd 1330 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1379 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1380 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1381 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1382 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1383 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
mysqld 1466 mysql 3u IPv4 1450 TCP localhost.localdomain:mysql (LISTEN)
dovecot 1541 root 5u IPv4 1687 TCP *:pop3 (LISTEN)
pure-ftpd 2274 root 4u IPv4 5281 TCP *:ftp (LISTEN)
sshd 8647 root 3u IPv4 645724 TCP *:30016 (LISTEN)
sshd 8978 root 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:30016->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
sshd 8981 transmitter 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:30016->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
sshd 11708 root 4u IPv4 661182 TCP MEINEIP.clients.your-server.de:30016->p54AED9C5.dip.t-dialin.net:61611 (ESTABLISHED)
sshd 11711 transmitter 4u IPv4 661182 TCP MEINEIP.clients.your-server.de:30016->p54AED9C5.dip.t-dialin.net:61611 (ESTABLISHED)
pop3-logi 11912 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 11916 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 11924 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
apache2 16147 root 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16148 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16149 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16151 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16153 www-data 3u IPv4 441349 TCP *:www (LISTEN)
exim4 28661 Debian-exim 4u IPv4 233971 TCP *:smtp (LISTEN)

Könnt ihr mir da helfen?

[captaincrunch]

Definiere "hoher Traffic"

[transmitter]

Hoher Traffic sind ca. 250MB / h.
Laut Apache Logs kann das aber nicht sein.

Ich habe mir nochmal IPTraf installiert:

Code: Select all

 Statistics for eth0 ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│                                                                                                                                                   │
│               Total      Total    Incoming   Incoming    Outgoing   Outgoing                                                                      │
│             Packets      Bytes     Packets      Bytes     Packets      Bytes                                                                      │
│ Total:          312      67222         105       6560         207      60662                                                                      │
│ IP:             312      62260         105       4496         207      57764                                                                      │
│ TCP:            312      62260         105       4496         207      57764                                                                      │
│ UDP:              0          0           0          0           0          0                                                                      │
│ ICMP:             0          0           0          0           0          0                                                                      │
│ Other IP:         0          0           0          0           0          0                                                                      │
│ Non-IP:           0          0           0          0           0          0                                                                      │
│                                                                                                                                                   │
│                                                                                                                                                   │
│ Total rates:         39.7 kbits/sec        Broadcast packets:            0                                                                        │
│                      25.4 packets/sec      Broadcast bytes:              0                                                                        │
│                                                                                                                                                   │
│ Incoming rates:       4.3 kbits/sec                                                                                                               │
│                       8.6 packets/sec                                                                                                             │
│                                            IP checksum errors:           0                                                                        │
│ Outgoing rates:      35.4 kbits/sec                                                                                                               │
│                      16.8 packets/sec                                                                                                             │
│                                                                                                                                                   │
│                                                                                       

Da rennen die Pakete fleißig nach oben.

Und der Traffic Monitor:

Code: Select all

 TCP Connections (Source Host:Port) ────────────────────────────────────────────────── Packets ───────────── Bytes ───── Flags ────── Iface ───────┐
│┌IP:SSH                                                                >     223               46640       -PA-         eth0         │
│└84.174.217.45:61611                                                                >     113                5336       --A-         eth0    

Aber das kann doch nicht sein:
http://img105.imageshack.us/my.php?image=traffic9jo.jpg
So sieht es im Traffic Tool aus, was kann das sein?

[captaincrunch]

Woher hast du diese "tolle" grafische Auswertung?

[transmitter]

Die Auswertung stammt von IPTraf und die Grafik stammt aus dem Hetzner Robot.

[captaincrunch]

Was sagen denn deine FTP-Logs?

[transmitter]

Runtergeladen wurde nichts, ich habe da nur normale logins von meiner Website ..
Also PHP loggt sich bei jedem Aufruf der Bildergalerie auf dem FTP ein für den Fall, das ein Benutzer ein Bild hochladen will.

Das sind dann schon so 500 Logins pro Stunde, kann das daran liegen?
Dann würde ich die Galerie ändern ..

[captaincrunch]

Ich kann mir nicht vorstellen, dass der Robot den über localhost ablaufenden Traffic (jedenfalls sollte diese (wenn auch ziemlich merwürdige) Kommunikation) nur intern laufen.

Wo du aber schon mit Fotogalerien anfängst: was macht dich so sicher, dass die Pics nicht doch relativ viel Traffiuc verursachen?

[transmitter]

Wo du aber schon mit Fotogalerien anfängst: was macht dich so sicher, dass die Pics nicht doch relativ viel Traffiuc verursachen?

AWStats ist der Meinung, heute insgesamt auf der Domain nur 26.32MB verbraucht zu haben.

Die 3 anderen Domains hatten heute insgesamt nur 20 Besucher, die haben sicher auch nicht zu viel Traffic verursacht.

Kann mir immer noch nicht so richtg vorstellen, dass es am Apache liegen soll und die FTP Logins baue ich gerade um, aber da konntest du dir ja nicht vorstellen, dass der Traffic daher kommt. :(

Eine andere Idee hast du auch nicht?

[niemand]

Du könntest mit einem passenden Programm den Traffic nach Ports und IPs getrennt loggen und auswerten. Wäre, glaube ich, am Naheliegendsten.

Dafür anbieten würde sich z.B. iptraf. Aber bitte nicht interaktiv laufen lassen (dann hättest du das Gleiche wie vorhin), sondern im Hintergrund und die Logs später auswerten.

cu

[Joe User]

Wie sieht es mit hochgeladener Schadsoftware (IRC-Bots, etc...) aus?

[transmitter]

Du könntest mit einem passenden Programm den Traffic nach Ports und IPs getrennt loggen und auswerten. Wäre, glaube ich, am Naheliegendsten.

Dafür anbieten würde sich z.B. iptraf.

Interaktiv hatte ich die Ausgabe ja schon gepostet, da war wieder alles ruhig, nur meine eigene Verbindung ist aufgefallen.
Ich morgen nochmal alles loggen und (nicht) hoffen, dass der Traffic nochmal sowas macht.

Wie sieht es mit hochgeladener Schadsoftware (IRC-Bots, etc...) aus?

find -name *irc*
Hat nichts außergewöhnliches gebracht.
Gibt es andere Möglichkeiten außer chkrootkit und rkhunter danach zu suchen?

[lord_pinhead]

Schonmal Ntop installiert? Finde das recht gut wenn ich jetzt schnell wissen will was los ist, kann ja sein das deine Tools ersetzt wurden. Was sagt ein ls -la /bin/netstat , vielleicht hat der ja vergessen den Timestamp zu ändern. Wäre jetzt der Worst-Case. Mails können es nicht sein oder wie? Mal deine mailq prüfen.

[transmitter]

So, ich hab ihn:

Code: Select all

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:25:03.616690 IP 84.190.78.171.4092 > MEINEIP.110: . ack 3883785693 win 65535
10:25:03.616772 IP MEINEIP.110 > 84.190.78.171.4092: . 63889:65341(1452) ack 0 win 5840
10:25:03.629673 IP 84.190.78.171.4092 > MEINEIP.110: . ack 1453 win 65535
10:25:03.629683 IP MEINEIP.110 > 84.190.78.171.4092: . 65341:66793(1452) ack 0 win 5840
10:25:03.640829 IP 84.190.78.171.4092 > MEINEIP.110: . ack 2905 win 65535
10:25:03.640837 IP MEINEIP.110 > 84.190.78.171.4092: . 66793:68245(1452) ack 0 win 5840
10:25:03.651043 IP 84.190.78.171.4092 > MEINEIP.110: . ack 4357 win 65535
10:25:03.651050 IP MEINEIP.110 > 84.190.78.171.4092: . 68245:69697(1452) ack 0 win 5840
10:25:03.664584 IP 84.190.78.171.4092 > MEINEIP.110: . ack 5809 win 65535
10:25:03.664592 IP MEINEIP.110 > 84.190.78.171.4092: . 69697:71149(1452) ack 0 win 5840
10:25:03.664818 IP 84.174.217.197.62329 > MEINEIP.9816: . ack 3790815339 win 64963
10:25:03.675546 IP 84.190.78.171.4092 > MEINEIP.110: . ack 7261 win 65535
10:25:03.675555 IP MEINEIP.110 > 84.190.78.171.4092: . 71149:72601(1452) ack 0 win 5840
10:25:03.685697 IP 84.190.78.171.4092 > MEINEIP.110: . ack 8713 win 65535
10:25:03.685706 IP MEINEIP.110 > 84.190.78.171.4092: . 72601:74053(1452) ack 0 win 5840
10:25:03.699019 IP 84.190.78.171.4092 > MEINEIP.110: . ack 10165 win 65535
10:25:03.699027 IP MEINEIP.110 > 84.190.78.171.4092: . 74053:75505(1452) ack 0 win 5840
10:25:03.709657 IP 84.190.78.171.4092 > MEINEIP.110: . ack 11617 win 65535
10:25:03.709665 IP MEINEIP.110 > 84.190.78.171.4092: . 75505:76957(1452) ack 0 win 5840
10:25:03.719800 IP 84.190.78.171.4092 > MEINEIP.110: . ack 13069 win 65535
10:25:03.719808 IP MEINEIP.110 > 84.190.78.171.4092: . 76957:78409(1452) ack 0 win 5840
10:25:03.733353 IP 84.190.78.171.4092 > MEINEIP.110: . ack 14521 win 65535
10:25:03.733361 IP MEINEIP.110 > 84.190.78.171.4092: . 78409:79861(1452) ack 0 win 5840
10:25:03.743691 IP 84.190.78.171.4092 > MEINEIP.110: . ack 15973 win 65535

Und so geht das die ganze Zeit, über Port 110 wird so viel Traffic verursacht, oder?

Was kann ich dagegen machen?
Die 84.190.78.171 per IPTables sperren?

[niemand]

Möchtest du nicht lieber erst einmal in den Logs nachsehen, ob da nicht ein legitimer User seine Mails abholt, bevor du ihn einfach so runterschmeißt?

cu

[transmitter]

Ja .. scheint ein Kunde zu sein, aber deswegen kann der ja nicht so viel verbrauchen! :(

Evtl. hat er einen Virus oder eine Fehlkonfiguration oder sowas?
Gibt es sowas unter Windows, was solche Symptome aufweist?

[niemand]

Schau doch am Besten mal in die entsprechenden Logfiles des pop3d, was genau geschieht. Wenn jemand dem "Kunden" entsprechend große/viele Mails geschickt hat (ich weiß ja nicht, um wieviel Traffic es sich hier handelt), ist doch alles ok. Wenn da allerdings gerade jemand versucht, sich mit vielen verschiedenen Logindaten einzuloggen, würde ich mir Gedanken machen.

cu

[transmitter]

Also im POP3D Log sieht es so aus, dass sich ein Kunde mit ca. 7 Accounts ca. 1 x pro Minute einloggt.

Insgesamt hat der Kunde mit seiner Firma 38MB im Mail Verzeichnis.
Auf die 200MB würde er da nur kommen, wenn die 38MB mehrfach runtergeladen würden.

Habe die IP(s) jetzt per IPTables gesperrt und warte auf den Rückruf des Kunden um nachzufragen, ob bei denen was nicht stimmt.

[darkman]

Hi,

wo muss man denn bestellen um bei Dir Kunde zu werden? ich such
schon laenger nen kompetenten Hoster...

SCNR,
Darkman

[alexander newald]

Der Kunde ruft normal seinen POP3 Account ab und macht nur 200 MB Traffic und du sperrst den????

Man kann sich täuschen, wieviel Traffic das Abrufen des Posteingangs verursacht: IMAP, einmal pro Minute und dann 50 Ordner die immer wieder gesynct werden... Da staunt man (Und Frau auch :lol: )

Aber das ist doch normal und OK und kein Grund zur Besorgniss

[transmitter]

Er guckt nach, evtl. besteht da ein Problem mit seinem Outlook.
Der Traffic ist ja erst seit 2 Tagen so unglaublich hoch, vorher war alles normal.
Das spricht ja schon für eine Fehlkonfiguration.

[alexander newald]

Vielleich hat er eingestellt, dass die Mails auf dem Server bleiben sollen und nach dem Downloaden nicht gelöscht werden sollen. Dann werden (je nach EmailClient) die Daten immer wieder abgerufen. 200 MB pro Tag sind dann nicht viel. Und ist das nicht eher ein Problem deines Kunden (Wenn er dann den Traffic zahlen muss) oder erfasst du den Traffic nicht und daher ist es dein Problem?

[rootsvr]

Brauchst Du wirklich 2 Threads hier und 1 bei Hetzner?

200 MB sind doch kein Problem ich hatte solche Peaks in den letzten Tagen auch, tippe auf nen Problem beim Robot.

[transmitter]

Ja, genau so hat er es eingestellt, er ändert daran was.
Nein, den Traffic berechne ich den Kunden nicht, da ich die Kunden alle persönlich kenne und die ganzen Skripte usw. im Griff habe.
Nur das mit den E-Mails habe ich nicht vorher gesehen.

Nein, theoretisch brauche ich keine 2 Threads, aber bei Hetzner im Forum habe ich letztens gelesen, dass der Robot bei manchen gesponnen hat.
Hätte ja sein können, dass da noch wer ähnliche Probleme hat, dann hätte ich mir keine Gedanken mehr drum machen müssen.

[rootsvr]

Ja ich hatte da bei Hetzner in den letzten 2 Tagen auch exakt die gleichen Probleme (mittags mal 1 mal einen Schub mehr traffic), den ich sonst nicht nachvollziehen kann.
Gehe deshalb von nem Robot Problem aus. Ob ich jetzt bei Hetzner auch noch posten soll? neee dann kann man ja informationen korrelieren *g*