Traffic verbrauch

Armin

New Member
Hallo,

ich habe jetzt schon den dritten Fall von übermäßigem Traffic.

Meistens in der Nacht ab 00:00 bis 01:00. Heute war es aber zum ersten mal ab ca. 04:00 Uhr.

Da werden in einer Stunde 10-20 GB verballert.

Wie kann ich denn das ganze rausfinden? Was da soviel Traffic frisst?

Habe Munin drauf und der zeigt mir in dieser Zeit eine offtime an, meine Livewatch hat aber nichts erfasst.

Vnstat behauptet aber das dort aber ca 11 GB gezogen wurden, 7 up und der rest down.

Ich kann aber auch nichts in den Logfiles erkennen, fail2ban läuft ...

Wie könnte man sowas noch überwachen?

Gruß Armin
 

Armin

New Member
Findet nix, absolut garnix :( Deswegen frag ich hier.

Ich glaub solangsam das vnstat manchmal einen an der Decke hat. Was komisch war, das eine Stunde 0.00kb übertragen wurden und dann ne menge mehr obwohl kein Ausfall war.
 

D3STY

New Member
Hi,
sieht ganz so aus als wäre dein Server jetzt nen STRO (Servers that are owned).
Da läuft warscheinlich irgendein ftpd der den ganzen Traffic verbraucht.
Der gringe Upload auf den Server und der hohe Download bestätigen die theorie.

Zu finden sind die Dienste oft nur sehr schwer, kommt drauf an wie gut sie versteck wurden.

Good luck!

Lg,

D3STY
 
H

HxD

Guest
Check ma deine kompletten Ports, besorg dir also nen Portscanner der die komplette Portrange von deinem Server abscannt und dann lass Ports, die dir nicht bekannt sind abhorchen. Wenn du dort etwas findest, worüber viel traffic verballert wird, kannst du davon ausgehen, das er "gehaxxt" wurde , dann primär den Port dichtmachen und am besten alle dienste die dir nicht bekannt sind killen...

Meistens werden rootkits dafür genutzt, um unter UNIX Programme zu tarnen, dazu solltest du dich an Google wenden, wie man am besten Rootkits ausfindig macht und diese beseitigt, wenns ein hartnäckiger Hacker ist, wirst du mit Port schließen und Rootkit killen nicht weit kommen ;)

Und guck dir unbedingt die angelegten User an!

//edit
Rechtschreibung bisle verbessert.
 
Last edited by a moderator:

Ben.

Registered User
Was sagt denn dein Provider dazu?

Kann er den Trafficverbrauch bestätigen? Er sollte das am Switch ablesen können. Diese Daten sind auch zuverlässig.
 

Armin

New Member
Sorry für die späte Rückmeldung!

Also was die Router vom RZ ergaben, das alles normal ist und das scheinbar VNStat gezickt hat. :confused:

Ich kann mir aber nicht erklären wieso da was nicht stimmt?
 

Whistler

Blog Benutzer
Einen recht guten Überblick bietet auch ein schlichtes ifconfig.
Wirklich manipulationssicher (und über einen Reboot hinausgehend) sind - wie schon geschrieben wurde - nur Zähler "von außen", also z.B. die SNMP-Counter bzw. sFlow am Swichport.
 
Top