50mbit Trafficverbrauch! Logfiles!

Owii · Mar 2, 2008

Mein Server verbraucht seit heute bis zu 50mbit traffic!

Ich habe NUR html files auf meinen recher und paar hundert kleinere .jpg / .gif files.

ich habe KEINE ahnung von servern habe mir alles "teuer" einrichten lassen!

So jetzt zu meiner frage, bitte versucht mir zu helfen!

Also ich möchte jetzt versuchen über logfiles herauszufinden wo der traffic her kommt.

Ich habe über Webmin folgendes herausgefunden

---------------------------------------------------

Webalizer Logfile-Analyse - /etc/httpd/logs/access_log

Report für dateityppen: htm* cgi php shtml

-------------------------------------------------

Problem 1.

Wenn ich im ordner bin

cd /etc/httpd/logs

wie lade ich die datai runter? die übrigens 2GB groß ist mitlwerweile

Problem 2.

Report für dateityppen: htm* cgi php shtml

ich gehe davon aus das es sich um jpg / gif datein handelt die aufgerufen werden ( ich gehe davon aus das mir eine person absichtlich schaden möchte und mit seinem server immer wieder bestimmt grafiken aufruft )

wie kann ich es erweitern das gif / jpg datein angezeigt werden?

Problem 3. kann ich die 2 GB große log datei einfach löschen nachdem ich diese gesaugt habe? wenn ja mit welchem befehl?

Problem 4. sagen wir ich sehe das eine IP von einem server etc. den traffic verursacht, wie sperre ich diese

habt ihr sonst noch tipps für mich / vorgehensweise ?

Bitte helft mir, ich weiss ich bin was das thema server verwalten geht echt nen totaler versager aber ich bin am verzweifeln 2 seiten musste ich schon offline nehmen ich will nicht auch noch die 3te wegen traffic problemen offline nehmen müsen.

Owii · Mar 2, 2008

Also ich habe es jetzt mir einem genialen programm geschaft die files herunterzulden!

es gibt eine Access_log

und dann noch
Access_log.1
Access_log.2
Access_log.3
Access_log.4

die .4 geht aber nur bis zum 10ten februar!?

Owii · Mar 2, 2008

Code:

85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.132.68 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index2.php HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.html HTTP/1.1" 200 46730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
85.114.135.184 - - [02/Mar/2008:05:23:53 +0100] "GET /index.php HTTP/1.1" 200 105 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"

wie kann ich die beiden server ausperren?

Thorsten · Mar 2, 2008

Hallo!

Owii said:
wie kann ich die beiden server ausperren?

Du weist was du da tust? Das sind normale Zugriffe auf die index Dateien.
- Woher kommt die Information von 50 MBit/s?
- Wie sieht die Logfile Auswertung aus (Transfervolumen pro Monat / pro Tag)?
- Woher weist du, das der Traffic wirklich vom Webserver verursacht wird?

mfG
Thorsten

Owii · Mar 2, 2008

das mit den 50mbit wird angezeigt von meinem admin panel beim hoster.

85.114.135.184
85.114.132.68

sind beides server die bei fast.it btw. webtropia stehen !

die rufen die index.html auf weil ich da bestimmt 10 grafiken verlinkt habe

meine index datei hat normal vieleicht 500 besucher am tag aber keine x tausend zugriffe pro min.

wie kann ich die sperren?

mr_brain · Mar 2, 2008

Vielleicht mal das Programm iptraf laufen lassen. Damit sollte man sehen, woher/wohin und auf welchem Port der Traffic verursacht wird.

Owii · Mar 2, 2008

ich weiss doch von wem der traffic verursacht wird?

ich möchte den jetzt nur ausperren! hab dem per htccess schon den zugriff verbotn aber brignt nichts

Thorsten · Mar 2, 2008

Hallo!
Sofern iptables installiert ist:

Code:

iptables -I INPUT -s 85.114.135.184 -j DROP
iptables -I INPUT -s 85.114.132.68 -j DROP

mfG
Thorsten

Owii · Mar 3, 2008

nachdem ich nun mit meinem hoster gesprochen habe und die auch keine IPs blockieren mit aber IPTabels empfehlen wurde...

und der Serveranbieter Webtropia angeblich innerhalb von 24 stunden nach senden der abusemail sich meldet - jaja ...

naja kann mir einer nen link zu einer anleitung senden wie ich iptables installiere?

wobei ich sagen muss das die anleitung simpel sien muss ich bin ein richtiger anfänger... also da sollte am besten nicht stehen "jetzt wechseln sie das verzeichnis nach" sondern "geben sie cd ...." ein

ich such mal in google vieleicht finde ich ja was wollte aber trotzdem posten vieleicht kennt ja jemand ein hammer tutorial... ajo forensuche benutz ich dann auch gleich mal

Ps. danke für eure hilfe !

Owii · Mar 3, 2008

forum1:~ # iptables -A INPUT -s 85.114.135.184 -j DROP
forum1:~ # iptables -A INPUT -s 85.114.132.65 -j DROP
forum1:~ # /etc/init.d/httpd stop
Stopping httpd: [ OK ]
forum1:~ # /etc/init.d/httpd start
Starting httpd: [ OK ]
forum1:~ #

= server genau so langsam wie vorher

50mbit Trafficverbrauch! Logfiles!

Owii

New Member

Owii

New Member

Owii

New Member

Thorsten

SSF Facilitymanagement

Owii

New Member

mr_brain

Registered User

Owii

New Member

Thorsten

SSF Facilitymanagement

Owii

New Member

Owii

New Member

We value your privacy