Massiver Traffic-Verbrauch: Wie auswerten?

D

Dawn

Registered User
Guten Tag,

Ich habe festgestellt das ein Kunde von mir massiv Traffic verbraucht. Über Plesk habe ich gesehen das es sich fast ausschliesslich um HTTP-Traffic handelt. Wenn ich nun aber z.B. AWStats anschaue sehe ich statt der 36 GB verbrauchten Traffic (welche Plesk mir anzeigt) nur ca. 3.5 GB verbrauchter Traffic. Plesk 9 selber zeigt mir keine genaueren Infos an...

Da sich ja AWStats auf das jeweilige Logfile des Domains bezieht sehe ich keinen Sinn dort rumzusuchen.

Wie würdet ihr vorgehen um möglichst schnell den Sündenbock zu finden? Wie misst Plesk genau den HTTP-Traffic?

Auf dem Server läuft Plesk 9.1 unter Debian. Die Kunden haben keinen SSH-Access.

Gruss,
Dawn

PS: Bei den anderen Domains ist der Traffic absolut normal, darum glaube ich nicht an einen Fehler von Plesk.
 
Last edited by a moderator:
Zunächst mal würde ich anhand einer unabhängigen Quelle (z.B. dem Traffic-Zähler des Providers) überprüfen, ob die Gesamtsumme plausibel ist. Eventuell beinhaltet ja das Apache-Log viele große Dateien, die gar nicht gänzlich heruntergeladen wurden, sondern nach ein paar Byte abgebrochen.
 
Das ist schon klar. Plesk würde es sogar benutzen (<IfModule mod_logio.c>...), wenn es denn geladen ist.
Automatisch laden tut Plesk es jedoch nicht.
 
Besten Dank für eure Hinweise....

Das es sich um grosse Dateien handelt welche nur immer teilweise heruntergeladen werden, denke ich nicht, da nahezu keine grösseren Dateien auf dem Webspace des Kunden vorhanden sind, und diese nur per PW Zugänglich sind.

mod_logio kannte ich bisher nicht, aber das hört sich sehr intressant an.

Aber wie zählt Plesk selber eigentlich den HTTP-Traffic? Nur alleine das Apache-Log des jeweiligen Kunden kann es nicht sein, sonst würde ja AWStats ähnlich hoher Trafficeverbrauch angeben.

Ich glaube ich habe das Problem gefunden: Ich habe ihm seine Apache-Logdateien zugänglich gemacht und selber mal rumsuchen lassen (ist ein Freund und Hobby-PHP-Programmierer). Scheinbar hat er nicht alles Parameter wirklich gut validiert und es war möglich über einen Parameter externe Inhalte abzurufen (also eine Art Proxy, Stichwort XSS Schwäche). Kann es sein dass so massiv mehr Traffic zu Stande kommt weil ja nicht ein Benutzer der Webseite Traffic verbraucht sondern das Script auf dem Server welches externe Inhalte lädt?

Gruss und besten Dank,
Dawn
 
Wenn die auf dem Server selbst liegenden Dateien allesamt recht klein sind, müßte sich der "Ausreißer" nach oben sowohl im ein- als auch im ausgehenden Traffic gleichermaßen bemerkbar machen. Paßt das?
 
Whistler said:
Wenn die auf dem Server selbst liegenden Dateien allesamt recht klein sind, müßte sich der "Ausreißer" nach oben sowohl im ein- als auch im ausgehenden Traffic gleichermaßen bemerkbar machen. Paßt das?
Click to expand...

Ich bin nicht sicher ob ich dich wirklich verstehe, aber du meinst damit wenn ein PHP-Script für solche Zwecke missbraucht wird (das wird es auch defintiv, das haben wir klar in den Logs gesehen) würde sich dieses auch durch vermehrte Aufrufe bemerkbar machen?

Gruss,
Dawn
 
Ich hätte an eine vom Apache-log unabhängige Bestätigung des Traffics gedacht.

Das kann ein Munin-Log, die Anzeige von ifconfig oder auch die Traffic-Statistik des Providers (falls Traffic getrennt berechnet wird, ist soetwas üblich) sein.
 
Ich habe unlimitiert Traffic in meinem Angebot von Keyweb. Vielleicht weiss ich zu wenig, aber meiner Meinung nach Zeigt doch "ifconfig" einfach die Netzwerkkonfiguration an? Munin kenne ich überhaupt nicht.

Am einfachsten wäre es wenn ich wüsste wie Plesk den Traffic berechnet, dann wäre ich schon einen Schritt weiter :)
 
You must log in or register to reply here.
Back
Top