Server4you traffic upstream knallt nach oben

Z

zinnbauer

Registered User
Hallo,

hab ein bedrohliches Problem:

1. Bin bei Server4you (ganz zufrieden)
2. Hab einen neuen Auftritt hochgeladen (neuer Kunde im Confixx, etc.)
3. dem sein Traffic sprengt alles zuvor dagewesene.

In meiner Traffic Statistik kann ich buchstäblich die einzelnen MB pro Minute ansteigen sehen.
Es wird nur der upstream belastet. Gestern hab ich nix hochgeladen, aber einen upstream von ca. 1 GB ! gehabt. Der crazyserverguy am Telefon meinte, dass auch mails mit zum Traffic kommen.
Woraus sich ableiten liesse: Wenn nix hochgeladen wird, dann wird vielleicht das Postfach mit Attachements bomardiert.
Massnahme: Postfach gelöscht, und Mail per mailto: woanders hingeletet.
Ergebins: nix

Wenn das so weitergeht zahl ich noch jeden Monat Übertraffic, für upstream, auch wenn mein Rechner aus ist...
Kann sich das jemand erklären ? Oder noch besser: mir helfen?

:confused:
MfG
Zinne
 
Hallo Zinne!
Als erstes mal die Logfiles kontrollieren (Web,FTP,Mail,...). Dann vielleicht mal schauen, wer da mit wem in Verbindung tritt (netstat). Eventuell auch mal nachsehen, ob der Traffic wirklich auf deiner Kiste erzeugt wird (ifconfig).

mfG
Thorsten
 
oje... ich war noch nie in einem anderem Ordner als httpdocs,
vielleicht ein kleiner hint, wo ich die finde ?

mfg
Zinne
 
1) Finde ich Thorstens Ansatz sehr gut
2) Sehr wahrscheinlich ist, wenn du wirklich soviel Traffic pro Tag verursachst:
Jemand versendet Spammails über deinen Server ODER Jemand hat Dateien auf deinen Server geladen um sie dort zu verteilen

Zu den Mails: Schaue mal ob das SMTP Auth aktiviert ist, Hilfe dazu findest du im FAQ von admin.vserver.de

Zu den Dateien: Versuch dich mal als "anonymous" mit IRGENDEINEM Passwort auf deinem server per FTP einzuloggen. Wenn dir das gelingt ist dort deine Sicherheitslücke.

Auch zu überrüfen wäre per SSH: "df" das zeigt dir deine Festplatten auslastung an, wenn du bislang nur eine Homepage isntalliert hast, dürftest du max. 100 MB belegt haben, dass heisst 90% der Festplatte wären noch frei. Wenn dem nicht so ist, hat jemand Daten auf deinen Vserver geschmuggelt.
 
hab ich bei den news gefunden:

Aufgrund von Problemen unseres Upstream Carriers Lambdanet kam es zu kurzzeitigen Netzwerkstörungen. Da die Verbindung zu Lambdanet nicht komplett unterbrochen war, wurde leider nicht automatisch umgeroutet und musste von unseren Netzwerkingenieuren erst manuell umgeroutet werden. Es treten damit nun keine Probleme mehr auf.

genau an diesem Datum hats angefangen, dass wäre aber zu einfach...
 
alles ausprobiert, alles safe pstream steigt immer noch

tja,

die MB´s purzeln weiter...
alles normal, alles sicher eingestellt...

weiss vielleicht noch jemand was ?

mfg Zinne
 
Die Frage ist,ob die MBytes durch deinen Server wandern. Kannst du auf der shell prima kontrollieren mit ifconfig. Wenn sich dort nichts dramtisches tut - nur ein paar kByte pro Minute - hast nicht du sonder Server4You ein Problem mit der Trafficmessung. Wenn sich dort genausoviel tut wie im Admin-Menue dann hast du spätestens am Ende des Monats ein Problem. Und zwar mit deiner Rechnung!
Nimm das nicht auf die leichte Schulter. Es dein Server, dein Traffic und dein Geld!

mfG
Thorsten
 
So sehr ich mich auch anstrenge, bei der interpretation müsste mir mal einer auf die Sprünge helfen:

$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:08:A1:25:41:3D
inet addr:217.172.181.160 Bcast:217.172.183.255 Mask:255.255.252.0
inet6 addr: fe80::208:a1ff:fe25:413d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:740780726 errors:0 dropped:0 overruns:0 frame:0
TX packets:9767587 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2695115601 (2570.2 Mb) TX bytes:3634895311 (3466.5 Mb)
Interrupt:11 Base address:0xf000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:28764 errors:0 dropped:0 overruns:0 frame:0
TX packets:28764 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5921352 (5.6 Mb) TX bytes:5921352 (5.6 Mb)



eine halbe minute später:


$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:08:A1:25:41:3D
inet addr:217.172.181.160 Bcast:217.172.183.255 Mask:255.255.252.0
inet6 addr: fe80::208:a1ff:fe25:413d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:740797056 errors:0 dropped:0 overruns:0 frame:0
TX packets:9768665 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2696128612 (2571.2 Mb) TX bytes:3636157192 (3467.7 Mb)
Interrupt:11 Base address:0xf000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:28764 errors:0 dropped:0 overruns:0 frame:0
TX packets:28764 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5921352 (5.6 Mb) TX bytes:5921352 (5.6 Mb)


Ich schätze mal die 2 müsste man vergleichen:
TX bytes:3634895311 (3466.5 Mb)
TX bytes:3636157192 (3467.7 Mb)
demnach tut sich wirklich soviel

mfg
Zinne
 
Last edited by a moderator:
- Was für Dienste laufen auf dem Server?
- Was sagt z.b. tail -f /var/log/mail bzw. tail -f /var/log/maillog?
- Was sagt tail -f /var/log/httpd/access_log?

mfG
Thorsten
 
tail -f /var/log/mail :

listet ein paar uralt versendete Mails auf und bekommt dann eine Zeitüberschreitung

tail -f /var/log/maillog:

$ tail -f /var/log/maillog
tail: /var/log/maillog: No such file or directory
tail: no files remaining

tail -f /var/log/httpd/access_log:

er rattert ewig willkürliche Pfade genau eines Kunden auf, (IP...Get"Pfad...") sieht aus wie ein live-Mittschnitt der im Moment passierenden downstreams
 
Also HTTP Zugriffe! apachectl stop verwenden um den Indianer vorerst anzuhalten. Dann den Traffic weiter beobachten. Sollte jetzt eigentlich wesentlich weniger werden. Kannst du mal auszugsweise die access_log posten? Auf was werden die GET request gemacht? Normale HTML/PHP Seiten oder läuft da irgendein remote script ab?

mfG
Thorsten
 
Indianer vorerst anzuhalten.
:rolleyes:
äh das heisst doch soviel wie Die user die die Seite betrachten bekommen ein "Seite existiert nicht 404 bla bla" oder.
dazu sollte ich vielleicht noch wissen wie man den Indianer wieder in Gang bekommt...

vielleicht mit apachectl start ???
 
Last edited by a moderator:
Das bedeutet,das alle auf diesem Server gehosteten Websites nicht erreichbar sind. Was jetzt folgen sollte ist eine Analyse der Webserver Logs.
Eventuell kannst du die irgendwo zum download hinterlegen.
Wenn die 'Angriffe' nur gegen eine bestimmte Website / virtuellen Host gingen könnstest du diesen deaktivieren und Apache mit apachectl start wieder starten.

mfG
Thorsten
 
O.K. die seite sollte gerade heute nicht gestoppt werden, ganz zu schweigen von den anderen Kunden...
noch was
tail -f /var/log/httpd/access_log hört nicht auf, er rattert durch. von einem Zeitüberschreitungs retry zum nächsten.
Die Seite ist gut besucht, das könnte schon hinkommen. Gibts auch nen Befehl um den upstream zu sehen ???

die txt-Datei:
athen160.server4free.de.de_access.log
ist über 4 MB gross ?
 
Last edited by a moderator:
Wenn nach dem abschalten von Apache der Traffic auf ein Normalmaß runtergeht und sonst keine Auffälligkeiten zu beobachten sind, dann verursacht diese Site soviel Traffic. Ohne spezielle Programme/Tools wirst du eine realistische Trafficanalyse nicht hinbekommen.
Was wird denn auf der besagten Seite angeboten? Wenn es sich z.B. um Downloads handelt ist dieser Umstand nicht zu ändern. Ansonsten könnte man über den Einsatz von Komprimierung nachdenken. In wie weit das effektiv ist kann ich leider nicht beurteilen.

mfG
Thorsten
 
Wie gesagt, auch mal den Anonymen FTP Zugang gecheckt? Wenn sich ein Hacker zugang zu deinem Server gemacht hat und dort jetzt einen Film zB hochgeladen hat ( 2 GIG Empfangene Daten weisen darauf hin) dann wird er diese Dateien gut versteckt haben. Such mal mit find oder locate nach *.rar oder *.zip und schau mal ob du da aufälligkeiten findest.
Denn: Dein Upstream geht innerhalb einer Minute hoch, dein Downstream nicht, bei einer "normalen" Homepage sollte sich eigentlich beides verändern....
 
naja, die Downstream-Werte sind ja in Ordnung. Mein upstream geht ja so in die höhe.
Ich denke das ist doch unabhängig voneinander.
Was mir noch eingefallen ist, auf der seite ist eine Galerie, die beinhaltet eine php-Abfrage der Bilder, welche die Dateianzahl aus einem Verzeichnis ausliesst.
also wie bei den zweifelsohne zahreichen Aufrufen der Galerie, wird jedesmal ein Verzeichnis ausgelesen und in einer While Schleife alle Ergebnisse aufgelistet

$dir = "../../media/img/thumb";
$num = count(glob($dir."/*"));

sollte etwa meine Programmierkunst so stümperhaft sein, das ich einen 100GB-Traffic Server in die Knie zwinge ?

MfG
Zinne
 
Wie gesagt, auch mal den Anonymen FTP Zugang gecheckt?
ja, smtp auth ist drin
anonym kommt man net rein und die Platten sind bis den Webspace leer...

tschuldigung hab vergessen zu sagen, das da alles in Ordnung war
 
Wie schauts aus?
Hat sich hier was geklärt oder besteht noch Handlungsbedarf?
Es scheint sich wirklich um einen Notfall zu handeln.

huschi.
 
You must log in or register to reply here.
Back
Top