Extreme Traffic Erhöhung

S

ServerJobs

New Member
Guten Tag Liebe Experten.
Ich habe ein Problem und kann überhaupt keine Antworten frinden, weil ich kein erfahrener Serveradministrator bin. Und zwar hat sich das Traffic auf unserem Server plötztlich von heute auf morgen extrem erhöht, sodass da etwas nicht stimmen kann, weil es nicht natürlich ist. Wir hatten in den vergangenen Monaten ein Traffic von ca. 0.5 bis 1,6 GB Pro Tag .Seit einigen Tagen allerdings liegen wir bei 10 - 17 GB pro Tag (siehe Anhang unten).Laut Google Analytics haben unsere Besucherzahlen sich nicht erhöht und alles andere hat sich auch nicht groß geändert.. Woran kann das liegen? kann mir einer weiter helfen, einen Tipp geben oder ein Tool empfehlen, womit ich vielleicht brauchbare Werte oder Hinweise bekommen kann? Bin für jede Hilfe Dankbar. (Ist ein Linix Server mit PLesk Panel 10)

Vielen Dank im Voraus
 

Attachments

  • Traffik.jpg
    Traffik.jpg
    49.6 KB · Views: 357
Wenn du dir die Access-Logs anschaust, siehst du dann auffällige Zugriffe?

Hast du eine URL für uns?

Untersuche mal deine Webseite(n), ob dort grosse Dateien irgendwo abgelegt wurden, die den Traffic verursachen könnten. Evtl. eine Schwachstelle und da liegen Dateien zum Download bereit?
 
Code: 
apt-get install iftop
iftop -Nnp
Kaffee holen, beobachten und berichten.
 
Zuerst mal rausfinden welches Protokoll den Traffic verursacht. Möglich wäre zB auch DNS-Relay oder E-Mail Versand.

Fusl's Vorschlag sollte also um -P auf "iftop -NnPp" erweitert werden.
 
Vielen Dank dass Ihr so schnell geantwortet habt.

Zu Ben.
Auf dem Server befinden sich keine größere Dateien und wir bieten auch keine Datein zum Download an.
Es befinden sich 11 Domains und nur 3 Seiten dort. Überhöhte Traffic verursacht jedoch nur unser Webshop hier (http://www.zaun-experten.de/). Versuche gerade die Logdateien zu finden, vielleicht kann ich dort etwas herausfinden...

Zu Fusl
Danke für den Vorschlag, der Tipp scheint gut zu sein, versuche gerade herauszufinden wie man IFTOP installiert. Habe ein Video gefunden, der erklärt auch ganz gut aber ich weiß nicht wo man diese Befehle eingeben muss :)
http://www.youtube.com/watch?v=F8ADrjF7S8M

Ihr merkt ich bin nicht gerade der Beste auf dem Gebiet. Bin Webentwickler/Designer habe leider keine tiefe Kenntnisse für Server-Monitoring...

Ich gebe mein Bestes. Werde später berichten wie weit ich gekommen bin.
Für weitere Tipps würde ich mich freuen...
 
Eingegeben wird das Ganze über die Konsole, auf die Du wiederum per SSH verbinden kannst. Als SSH client empfehle ich Putty für Windows.
 
ServerJobs said:
Ihr merkt ich bin nicht gerade der Beste auf dem Gebiet. Bin Webentwickler/Designer habe leider keine tiefe Kenntnisse für Server-Monitoring....
Click to expand...
Bei der Frage, wo die Befehle eingegeben werden müssen, habe ich ernste Bedenken. Ist es für Dich vorstellbar den Support Deines Hosters bzw. eines anderen professionellen Administrator in Anspruch zu nehmen? Ich denke, das wäre zielführender. Wenn Du selbst weitermachen willst, lass dir gesagt sein, dass ist jetzt noch die leichteste Übung (bei der Du bereits ins Schleudern kommst), wenn es dann darum geht die betreffenden Prozesse einzuzirkeln, wird es deutlich haariger.

Btw, wieso gehen eigentlich alle von Debian aus? Ich meine es wurde noch nicht erwähnt, welche Distribution der TE einsetzt.
 
Wenn man hier ließt, dass der OP bis jetzt nicht einmal die Konsole gefunden hat, kann man denke ich getrost davon ausgehen, dass auf dem Server nie Updates eingespielt wurden und neben Magento noch viele weitere ungepatchte Software vor sich hin dümpelt. Keine Updates = viele Sicherheitslücken.

Ich kann mich nur TerraX anschließen: Hier hilft nur noch ein professioneller Admin, der sich das ansieht. Ich gehe einmal mehr von einem Hack aus.
 
PapaBaer said:
Wenn man hier ließt, dass der OP bis jetzt nicht einmal die Konsole gefunden hat, kann man denke ich getrost davon ausgehen, dass auf dem Server nie Updates eingespielt wurden und neben Magento noch viele weitere ungepatchte Software vor sich hin dümpelt. Keine Updates = viele Sicherheitslücken.

Ich kann mich nur TerraX anschließen: Hier hilft nur noch ein professioneller Admin, der sich das ansieht. Ich gehe einmal mehr von einem Hack aus.
Click to expand...

Wenn Plesk richtig funktioniert führt Plesk Selber Updates Durch ;)

Sonnst stimme ich dir zu :)
 
Im Prinzip ist es relativ egal welche veraltete Software auf dem Server werkelt.
Daher bringt es nichts es mit weiterem Rätselraten an zu reichern. Ggf. führt man die Leute nur auf eine falsche Fährte.

Faktum ist:
Ein plötzlicher Traffic-Anstieg ohne direkt erkennbaren Grund muss genauer untersucht werden und lässt die Vermutung eines Einbruchs/Missbrauchs des Servers laut werden. (Wie es bereits oben steht.)

In diesem Fall wäre ein Anlernen der Fähigkeiten zur Untersuchung der Vorfälle auch Zeitnah nicht möglich. Daher bleibt nur der Griff zu einem (kommerziellen) Experten und dem Vorsatz sich demnächst mit der Materie der Server-Administration weiter zu beschäftigen.


Zusätzlich muss ich noch Folgendes richtig stellen:
Eve said:
Wenn Plesk richtig funktioniert führt Plesk Selber Updates Durch ;)
Click to expand...
Das stimmt nur zu ca. 1/3.
Plesk führt lediglich Distributions-Updates von direkten Abhängigkeiten aus. Und das auch nur, wenn ein Plesk-Update mit einem entsprechenden Plesk-Paket ansteht. Ggf. sind die Distributions-Paket-Updates schon lange vorher vorhanden.
Zusätzlich bedeutet der Umkehrschluss, dass Pakete ohne Plesk-Abhängigkeit nicht vom Plesk-Update bedacht werden. Neben einigen unwichtigen Paketen trifft dies aber auch wichtige wie Openssl, ssh und den Kernel zu.
Also bitte bitte bitte nicht sich auf Plesk verlassen!

huschi.
 
Sven_R said:
Was hat der Downloader mit dem Magento Core zu schaffen?? Der Downloader ist ein Plugin und der kann natürlich eine andere Versionnummer haben als der Magecore. Einfach mal genau auf die Landingpage schauen dann siet man was Richtig ist und was nicht!

Sven
Click to expand...

Laut http://www.magentocommerce.com/wiki/groups/227/check_magento_version ist das die offizielle Methode um die Versionsnummer zu ermitteln, wenn /admin nicht verfügbar ist. Ich weiss nicht woher Sucuri die Informationen zieht, aber ich tippe mal ganz stark darauf, dass auch die Magento-Version zu alt ist.
 
Und schon wieder rutscht ein Thema ins off und das ganz ohne Joe... Dem TO wurden doch Tipps gegeben wie er dem Traffic auf die Spur kommt. Wenn jetzt noch Fragen sind und er mit der Hilfe hier zufrieden war wird er sich schon wieder melden.
 
You must log in or register to reply here.
Back
Top