Page 1 of 2
Schon wieder hoher Traffic :(
Posted: 2006-02-16 18:25
by transmitter
Hi .. ich bin´s nochmal.
Wie finde ich denn raus, was bzw. wo der Traffic verursacht wird?
netstat -pletunx
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 0 1450 1466/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 1687 1541/dovecot
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 1236 1330/spamd.pid
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 441349 16147/apache2
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 0 5281 2274/pure-ftpd (SER
tcp 0 0 0.0.0.0:32016 0.0.0.0:* LISTEN 0 645724 8647/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 233971 28661/exim4
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 120835 6337/clamd /var/run/clamav/clamd.ctl
unix 2 [ ACC ] STREAM LISTENING 1452 1466/mysqld /var/run/mysqld/mysqld.sock
unix 2 [ ACC ] STREAM LISTENING 441354 16148/apache2 /var/run/apache2/cgisock
unix 2 [ ACC ] STREAM LISTENING 1733 1541/dovecot /var/run/dovecot/login/default
unix 2 [ ACC ] STREAM LISTENING 441358 16149/fcgi-pm /var/run/fastcgi/2ffdc25496367c0d86f2e8189a5fc969
unix 2 [ ACC ] STREAM LISTENING 441372 16149/fcgi-pm /var/run/fastcgi/dynamic/0e4b52d6695a49232261a15d85ba65de
unix 2 [ ACC ] STREAM LISTENING 441413 16149/fcgi-pm /var/run/fastcgi/dynamic/fa2890fb8130ff3dc9fdc039195b95ca
unix 2 [ ACC ] STREAM LISTENING 441443 16149/fcgi-pm /var/run/fastcgi/dynamic/45f044d4dfcad7f2b677cadba4b63547
unix 2 [ ACC ] STREAM LISTENING 442511 16149/fcgi-pm /var/run/fastcgi/dynamic/d12465735552c0173b0c1bf8eaa1daaa
unix 2 [ ACC ] STREAM LISTENING 443885 16149/fcgi-pm /var/run/fastcgi/dynamic/06e49a9247d40e83686a7d75fd8b69da
unix 2 [ ACC ] STREAM LISTENING 444034 16149/fcgi-pm /var/run/fastcgi/dynamic/9a77021486f850534dd4bec77cfc2e6f
unix 2 [ ACC ] STREAM LISTENING 453436 16149/fcgi-pm /var/run/fastcgi/dynamic/531755f6170a700ed1393aa031d04a71
unix 2 [ ACC ] STREAM LISTENING 455044 16149/fcgi-pm /var/run/fastcgi/dynamic/acdf7195633398a85892c6b7dbe4a432
unix 2 [ ACC ] STREAM LISTENING 458123 16149/fcgi-pm /var/run/fastcgi/dynamic/2254355d9644443c69976af46e43daa1
unix 2 [ ACC ] STREAM LISTENING 430977 14183/lpd /dev/printer
lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
spamd 1330 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1379 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1380 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1381 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1382 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
spamd 1383 root 5u IPv4 1236 TCP localhost.localdomain:spamd (LISTEN)
mysqld 1466 mysql 3u IPv4 1450 TCP localhost.localdomain:mysql (LISTEN)
dovecot 1541 root 5u IPv4 1687 TCP *:pop3 (LISTEN)
pure-ftpd 2274 root 4u IPv4 5281 TCP *:ftp (LISTEN)
sshd 8647 root 3u IPv4 645724 TCP *:30016 (LISTEN)
sshd 8978 root 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:30016->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
sshd 8981 transmitter 4u IPv4 647274 TCP MEINEIP.clients.your-server.de:30016->p54AED268.dip.t-dialin.net:62665 (ESTABLISHED)
sshd 11708 root 4u IPv4 661182 TCP MEINEIP.clients.your-server.de:30016->p54AED9C5.dip.t-dialin.net:61611 (ESTABLISHED)
sshd 11711 transmitter 4u IPv4 661182 TCP MEINEIP.clients.your-server.de:30016->p54AED9C5.dip.t-dialin.net:61611 (ESTABLISHED)
pop3-logi 11912 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 11916 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
pop3-logi 11924 dovecot 0u IPv4 1687 TCP *:pop3 (LISTEN)
apache2 16147 root 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16148 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16149 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16151 www-data 3u IPv4 441349 TCP *:www (LISTEN)
apache2 16153 www-data 3u IPv4 441349 TCP *:www (LISTEN)
exim4 28661 Debian-exim 4u IPv4 233971 TCP *:smtp (LISTEN)
Könnt ihr mir da helfen?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 18:53
by captaincrunch
Definiere "hoher Traffic"
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:05
by transmitter
Hoher Traffic sind ca. 250MB / h.
Laut Apache Logs kann das aber nicht sein.
Ich habe mir nochmal IPTraf installiert:
Code: Select all
Statistics for eth0 ──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│ │
│ Total Total Incoming Incoming Outgoing Outgoing │
│ Packets Bytes Packets Bytes Packets Bytes │
│ Total: 312 67222 105 6560 207 60662 │
│ IP: 312 62260 105 4496 207 57764 │
│ TCP: 312 62260 105 4496 207 57764 │
│ UDP: 0 0 0 0 0 0 │
│ ICMP: 0 0 0 0 0 0 │
│ Other IP: 0 0 0 0 0 0 │
│ Non-IP: 0 0 0 0 0 0 │
│ │
│ │
│ Total rates: 39.7 kbits/sec Broadcast packets: 0 │
│ 25.4 packets/sec Broadcast bytes: 0 │
│ │
│ Incoming rates: 4.3 kbits/sec │
│ 8.6 packets/sec │
│ IP checksum errors: 0 │
│ Outgoing rates: 35.4 kbits/sec │
│ 16.8 packets/sec │
│ │
│
Da rennen die Pakete fleißig nach oben.
Und der Traffic Monitor:
Code: Select all
TCP Connections (Source Host:Port) ────────────────────────────────────────────────── Packets ───────────── Bytes ───── Flags ────── Iface ───────┐
│┌IP:SSH > 223 46640 -PA- eth0 │
│└84.174.217.45:61611 > 113 5336 --A- eth0
Aber das kann doch nicht sein:
http://img105.imageshack.us/my.php?image=traffic9jo.jpg
So sieht es im Traffic Tool aus, was kann das sein?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:10
by captaincrunch
Woher hast du diese "tolle" grafische Auswertung?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:10
by transmitter
Die Auswertung stammt von IPTraf und die Grafik stammt aus dem Hetzner Robot.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:18
by captaincrunch
Was sagen denn deine FTP-Logs?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:27
by transmitter
Runtergeladen wurde nichts, ich habe da nur normale logins von meiner Website ..
Also PHP loggt sich bei jedem Aufruf der Bildergalerie auf dem FTP ein für den Fall, das ein Benutzer ein Bild hochladen will.
Das sind dann schon so 500 Logins pro Stunde, kann das daran liegen?
Dann würde ich die Galerie ändern ..
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 19:57
by captaincrunch
Ich kann mir nicht vorstellen, dass der Robot den über localhost ablaufenden Traffic (jedenfalls sollte diese (wenn auch ziemlich merwürdige) Kommunikation) nur intern laufen.
Wo du aber schon mit Fotogalerien anfängst: was macht dich so sicher, dass die Pics nicht doch relativ viel Traffiuc verursachen?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 20:12
by transmitter
CaptainCrunch wrote:Wo du aber schon mit Fotogalerien anfängst: was macht dich so sicher, dass die Pics nicht doch relativ viel Traffiuc verursachen?
AWStats ist der Meinung, heute insgesamt auf der Domain nur 26.32MB verbraucht zu haben.
Die 3 anderen Domains hatten heute insgesamt nur 20 Besucher, die haben sicher auch nicht zu viel Traffic verursacht.
Kann mir immer noch nicht so richtg vorstellen, dass es am Apache liegen soll und die FTP Logins baue ich gerade um, aber da konntest du dir ja nicht vorstellen, dass der Traffic daher kommt. :(
Eine andere Idee hast du auch nicht?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 22:02
by niemand
Du könntest mit einem passenden Programm den Traffic nach Ports und IPs getrennt loggen und auswerten. Wäre, glaube ich, am Naheliegendsten.
Dafür anbieten würde sich z.B. iptraf. Aber bitte nicht interaktiv laufen lassen (dann hättest du das Gleiche wie vorhin), sondern im Hintergrund und die Logs später auswerten.
cu
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 22:08
by Joe User
Wie sieht es mit hochgeladener Schadsoftware (IRC-Bots, etc...) aus?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-16 22:17
by transmitter
niemand wrote:Du könntest mit einem passenden Programm den Traffic nach Ports und IPs getrennt loggen und auswerten. Wäre, glaube ich, am Naheliegendsten.
Dafür anbieten würde sich z.B. iptraf.
Interaktiv hatte ich die Ausgabe ja schon gepostet, da war wieder alles ruhig, nur meine eigene Verbindung ist aufgefallen.
Ich morgen nochmal alles loggen und (nicht) hoffen, dass der Traffic nochmal sowas macht.
Joe User wrote:Wie sieht es mit hochgeladener Schadsoftware (IRC-Bots, etc...) aus?
find -name *irc*
Hat nichts außergewöhnliches gebracht.
Gibt es andere Möglichkeiten außer chkrootkit und rkhunter danach zu suchen?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 09:50
by lord_pinhead
Schonmal Ntop installiert? Finde das recht gut wenn ich jetzt schnell wissen will was los ist, kann ja sein das deine Tools ersetzt wurden. Was sagt ein ls -la /bin/netstat , vielleicht hat der ja vergessen den Timestamp zu ändern. Wäre jetzt der Worst-Case. Mails können es nicht sein oder wie? Mal deine mailq prüfen.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 11:16
by transmitter
So, ich hab ihn:
Code: Select all
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:25:03.616690 IP 84.190.78.171.4092 > MEINEIP.110: . ack 3883785693 win 65535
10:25:03.616772 IP MEINEIP.110 > 84.190.78.171.4092: . 63889:65341(1452) ack 0 win 5840
10:25:03.629673 IP 84.190.78.171.4092 > MEINEIP.110: . ack 1453 win 65535
10:25:03.629683 IP MEINEIP.110 > 84.190.78.171.4092: . 65341:66793(1452) ack 0 win 5840
10:25:03.640829 IP 84.190.78.171.4092 > MEINEIP.110: . ack 2905 win 65535
10:25:03.640837 IP MEINEIP.110 > 84.190.78.171.4092: . 66793:68245(1452) ack 0 win 5840
10:25:03.651043 IP 84.190.78.171.4092 > MEINEIP.110: . ack 4357 win 65535
10:25:03.651050 IP MEINEIP.110 > 84.190.78.171.4092: . 68245:69697(1452) ack 0 win 5840
10:25:03.664584 IP 84.190.78.171.4092 > MEINEIP.110: . ack 5809 win 65535
10:25:03.664592 IP MEINEIP.110 > 84.190.78.171.4092: . 69697:71149(1452) ack 0 win 5840
10:25:03.664818 IP 84.174.217.197.62329 > MEINEIP.9816: . ack 3790815339 win 64963
10:25:03.675546 IP 84.190.78.171.4092 > MEINEIP.110: . ack 7261 win 65535
10:25:03.675555 IP MEINEIP.110 > 84.190.78.171.4092: . 71149:72601(1452) ack 0 win 5840
10:25:03.685697 IP 84.190.78.171.4092 > MEINEIP.110: . ack 8713 win 65535
10:25:03.685706 IP MEINEIP.110 > 84.190.78.171.4092: . 72601:74053(1452) ack 0 win 5840
10:25:03.699019 IP 84.190.78.171.4092 > MEINEIP.110: . ack 10165 win 65535
10:25:03.699027 IP MEINEIP.110 > 84.190.78.171.4092: . 74053:75505(1452) ack 0 win 5840
10:25:03.709657 IP 84.190.78.171.4092 > MEINEIP.110: . ack 11617 win 65535
10:25:03.709665 IP MEINEIP.110 > 84.190.78.171.4092: . 75505:76957(1452) ack 0 win 5840
10:25:03.719800 IP 84.190.78.171.4092 > MEINEIP.110: . ack 13069 win 65535
10:25:03.719808 IP MEINEIP.110 > 84.190.78.171.4092: . 76957:78409(1452) ack 0 win 5840
10:25:03.733353 IP 84.190.78.171.4092 > MEINEIP.110: . ack 14521 win 65535
10:25:03.733361 IP MEINEIP.110 > 84.190.78.171.4092: . 78409:79861(1452) ack 0 win 5840
10:25:03.743691 IP 84.190.78.171.4092 > MEINEIP.110: . ack 15973 win 65535
Und so geht das die ganze Zeit, über Port 110 wird so viel Traffic verursacht, oder?
Was kann ich dagegen machen?
Die 84.190.78.171 per IPTables sperren?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 11:35
by niemand
Möchtest du nicht lieber erst einmal in den Logs nachsehen, ob da nicht ein legitimer User seine Mails abholt, bevor du ihn einfach so runterschmeißt?
cu
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 11:46
by transmitter
Ja .. scheint ein Kunde zu sein, aber deswegen kann der ja nicht so viel verbrauchen! :(
Evtl. hat er einen Virus oder eine Fehlkonfiguration oder sowas?
Gibt es sowas unter Windows, was solche Symptome aufweist?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 11:57
by niemand
Schau doch am Besten mal in die entsprechenden Logfiles des pop3d, was genau geschieht. Wenn jemand dem "Kunden" entsprechend große/viele Mails geschickt hat (ich weiß ja nicht, um wieviel Traffic es sich hier handelt), ist doch alles ok. Wenn da allerdings gerade jemand versucht, sich mit vielen verschiedenen Logindaten einzuloggen, würde ich mir Gedanken machen.
cu
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 12:18
by transmitter
Also im POP3D Log sieht es so aus, dass sich ein Kunde mit ca. 7 Accounts ca. 1 x pro Minute einloggt.
Insgesamt hat der Kunde mit seiner Firma 38MB im Mail Verzeichnis.
Auf die 200MB würde er da nur kommen, wenn die 38MB mehrfach runtergeladen würden.
Habe die IP(s) jetzt per IPTables gesperrt und warte auf den Rückruf des Kunden um nachzufragen, ob bei denen was nicht stimmt.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:25
by darkman
Hi,
wo muss man denn bestellen um bei Dir Kunde zu werden? ich such
schon laenger nen kompetenten Hoster...
SCNR,
Darkman
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:29
by alexander newald
Der Kunde ruft normal seinen POP3 Account ab und macht nur 200 MB Traffic und du sperrst den????
Man kann sich täuschen, wieviel Traffic das Abrufen des Posteingangs verursacht: IMAP, einmal pro Minute und dann 50 Ordner die immer wieder gesynct werden... Da staunt man (Und Frau auch :lol: )
Aber das ist doch normal und OK und kein Grund zur Besorgniss
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:31
by transmitter
Er guckt nach, evtl. besteht da ein Problem mit seinem Outlook.
Der Traffic ist ja erst seit 2 Tagen so unglaublich hoch, vorher war alles normal.
Das spricht ja schon für eine Fehlkonfiguration.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:38
by alexander newald
Vielleich hat er eingestellt, dass die Mails auf dem Server bleiben sollen und nach dem Downloaden nicht gelöscht werden sollen. Dann werden (je nach EmailClient) die Daten immer wieder abgerufen. 200 MB pro Tag sind dann nicht viel. Und ist das nicht eher ein Problem deines Kunden (Wenn er dann den Traffic zahlen muss) oder erfasst du den Traffic nicht und daher ist es dein Problem?
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:50
by rootsvr
Brauchst Du wirklich 2 Threads hier und 1 bei Hetzner?
200 MB sind doch kein Problem ich hatte solche Peaks in den letzten Tagen auch, tippe auf nen Problem beim Robot.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 13:59
by transmitter
Ja, genau so hat er es eingestellt, er ändert daran was.
Nein, den Traffic berechne ich den Kunden nicht, da ich die Kunden alle persönlich kenne und die ganzen Skripte usw. im Griff habe.
Nur das mit den E-Mails habe ich nicht vorher gesehen.
Nein, theoretisch brauche ich keine 2 Threads, aber bei Hetzner im Forum habe ich letztens gelesen, dass der Robot bei manchen gesponnen hat.
Hätte ja sein können, dass da noch wer ähnliche Probleme hat, dann hätte ich mir keine Gedanken mehr drum machen müssen.
Re: Schon wieder hoher Traffic :(
Posted: 2006-02-17 15:32
by rootsvr
Ja ich hatte da bei Hetzner in den letzten 2 Tagen auch exakt die gleichen Probleme (mittags mal 1 mal einen Schub mehr traffic), den ich sonst nicht nachvollziehen kann.
Gehe deshalb von nem Robot Problem aus. Ob ich jetzt bei Hetzner auch noch posten soll? neee dann kann man ja informationen korrelieren *g*