Unglaublich hoher Upstream


D

Davidoff

New Member
Hallo!

Ich bin ein Kunde von Server4You und bin bei dieser Firma schon seit mindestens einem Jahr. Anfangs war ich sehr unzufrieden, was eigentlich verständlich war :p

Doch inzwischen habe ich ein gewisses Wissen aufgebaut und komme eigentlich gut zurecht. Ich hoste auf meinem vServer einige wichtige Angebote und habe seit einiger Woche ein schweres Problem.

Im vserver.de/admin/ Kundeninterface unter Traffic ist mein Upstream brutalst hoch. Über 1,500 MB! Upstream wird doch eigentlich nur durch laufende Programme auf dem Server verursacht, oder? Ich habe alle Programme beendet (Teamspeak etc.) und schaute heute nochmal rein. Und was sehe ich? 400 MB Upstream!!! Und 200 MB Downstream.

Den Downstream kann ich mir erklären da wir wirklich viele Besucher etc haben. Aber wenn ich keinerlei Programme laufen habe bzw. diese gestoppt habe, müsste doch gar kein Upstream vorhanden sein. Bei meinem Transfervolumen von 15000 MB pro Monat muss ich hier voll aufpassen das ich nicht überziehe. Mit diesem scheiß Problem werde ich wohl oder übel den Server runterfahren müssen.

Also was kann ich tun? ich habe im Forum schon ein bisschen gestöbert und habe von Email Missbrauch gehört. Das Spammer meinen Account ausnutzen etc. Ich habe in der var/log/maillog nachgesehen und sehr oft den Eintrag 'Relaying denied' oder so gefunden. Kann es das sein was meinen Upstream so nach oben schiessen lässt?

Ich hoffe, dass mir jemand helfen wird.
Herzlichen Dank dafür schonmal.

Gruß
David
 
Davidoff said:
Den Downstream kann ich mir erklären da wir wirklich viele Besucher etc haben. Aber wenn ich keinerlei Programme laufen habe bzw. diese gestoppt habe, müsste doch gar kein Upstream vorhanden sein.
Click to expand...
Um erstmal jedem Irrtum vorzubeugen:
- Upstream sind die Daten, die vom Server gesendet werden (z.B. die Webseiten oder POP3)
- Downstream sind die Daten, die der Server empfängt (z.B. eingehende Emails, http-Requests, etc.)

Solange Dein Apache und Sendmail laufen ist es völlig normal, daß sich da was tut. Und das der Upstream höher ist als der Downstream ebenfalls.

Wenn Dein Upstream brutal hoch ist, dann hast Du ein Programm laufen, das brutal viele Daten irgendwo hinschickt.
Ein freundlicher 'netstat -an' kann schon mal aufschluß darüber geben, welche Programme so rumfunken.
Und ein 'ifconfig | grep bytes' spuckt Dir aus, wieviele Bytes wirklich seit dem letzten reboot über die (virtuelle) Netzwerkkarte geflossen sind.

PS: Sag mbroemme Deine vServer-Nr, dann kann er auf dem Hostsystem nachsehen, was da läuft.

huschi.
 
Schon mal herzlichen Dank für Eure Antworten!
Meine vServer Nummer lautet 248170 und so langsam
wird es echt knapp. Ich habe nur noch 500 MB frei!
Wenn ich dann kurz vor der magischen 15000 MB stehe,
sehe ich mich gezwungen, den Server voll herunterzufahren.
Wie lautet dazu eigentlich der Befehl? Ich will den kompletten
Traffic diesen Monat stoppen [ was natürlich scheisse für
meine Webseiten ist :( ] Oder gibt es noch andere Möglichkeiten?

Herzlichen Dank

gruß
david
 
Kannst ja auf jeden Fall schon mal den Apache runterfahren (apachectl stop)
Aber du solltest mal rausfinden, woher der ganze Traffic kommt
 
Davidoff said:
Schon mal herzlichen Dank für Eure Antworten!
Click to expand...
Und wo bleiben Deine? Z.B. die Ausgabe von netstat und ifconfig?
Damit könnten wir Dir nochmal helfen. Ansonsten wird das hier nur noch blabla.

den Server voll herunterzufahren. Wie lautet dazu eigentlich der Befehl?
Click to expand...
'shutdown -h now' soll angeblich zu einem Crash der VE führen. Aber wohl genau das, was Du brauchst... ;)
(Bitte nicht wirklich machen!!!)

Nein, der einzige Ausweg aus der Lage ist den Fehler zu finden.

huschi.
 
Es könnte auch das Problem sein:
http://www.heise.de/security/news/meldung/46514



Hier an Huschi

[root@248170 root]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 604 62.75.248.170:22 217.229.144.99:33239 ESTABLISHED
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 527063 /var/lib/mysql/mysql.sock
unix 2 [ ACC ] STREAM LISTENING 99426498 /etc/httpd/run/fpcgisock
unix 4 [ ] DGRAM 526865 /dev/log
unix 2 [ ] DGRAM 527265
unix 2 [ ] DGRAM 526959
[root@248170 root]#



[root@248170 root]# ifconfig | grep bytes
RX bytes:8209969 (7.8 Mb) TX bytes:8209969 (7.8 Mb)
RX bytes:2015756693 (1922.3 Mb) TX bytes:1449459051 (1382.3 Mb)
RX bytes:2015756693 (1922.3 Mb) TX bytes:1449459051 (1382.3 Mb)
[root@248170 root]#


Huschi Hast Du vielleicht ICQ oder ein anderes Chatprogramm?
Es wäre wirklich sehr sehr wichtig, ich hätte heute Abend noch Zeit!

Danke nochmals
gruß
david
 
Davidoff said:
Es könnte auch das Problem sein:
http://www.heise.de/security/news/meldung/46514
Click to expand...
Das ist möglich. Dann würdest Du eine Menge Einträge im maillog finden.
Dazu müßtest Du das maillog mal ordendlich auswerten. 'watchlog' kann dies zumindest schon mal in einer Zusammenfassung.
Außerdem könntest Du es einfach abschalten, indem Du sendmail beendest:
/etc/init.d/sendmail stop

RX bytes:2015756693 (1922.3 Mb) TX bytes:1449459051 (1382.3 Mb)
Click to expand...
Es liefen also wirklich eine Menge Bytes über die Netzwerkkarte. Wann war der letzte Reboot? (mit 'uptime')

Huschi Hast Du vielleicht ICQ oder ein anderes Chatprogramm?
Click to expand...
Nop.

huschi.
 
[root@248170 root]# uptime
23:51:42 up 7 days, 15:36, 1 user, load average: 0.01, 0.02, 0.00
[root@248170 root]#

Der Befehl 'watchlog' funktioniert gar nicht

sendmail kann ich schlecht beenden nur im notfall! Also wenns garn icht anders geht!

Schade das Du kein Chatprog hast, bitte bleib noch ein bisschen da! Sonst muss ich morgen früh vielleicht schon blechen für den Übertraffic.

gruß
david
 
Du hast also einen Datendurchsatz von über 200 MB pro Tag seit dem letzten Reboot. Das ist schon ne Menge für einen vServer.

Davidoff said:
Der Befehl 'watchlog' funktioniert gar nicht
Click to expand...
Sorry, is scho späd!
logwatch heißt das Ding. Und es kann sein, daß Du es erst installieren & konfigurieren mußt. Kann auch sein, daß es schon drauf ist, und Du es lediglich mit 'chmod +x /etc/cron.daily/00logwatch' aktivieren kannst.

Da ich jetzt bald ins Bett muß (denn ich muß auch morgen arbeiten), mach doch folgendes über Nacht:
- Erstell einen Cronjob, der regelmässig 'ifconfig|grep bytes' ausführt. (Das Ergebniss wird Dir dann auf root gemailt.)
- Lass innerhalb der Nacht für eine Stunde (ebenfalls per cron) sendmail runterfahren, in einer anderen Stunde den Apache.

Morgen früh kannst Du die Differenzen von jeder Stunde auswerten und kommst vieleicht einen Schritt weiter.
Ansonsten experimentier mit den Parametern von netstat rum. Da gibt es Möglichkeiten, daß er Dir dauerhaft die entstehenden Verbindungen anzeigt.

Denn momentan geht es darum rauszufinden, welches Programm den Traffik erzeugt. Du könntest auch noch ein paar Ports schließen. Z.B. FTP, MySQL (skip-networking). evtl. über Nacht auch mal die POP3/s abschalten.

huschi.
 
Davidoff said:
Aber der Befehl /etc/init.d/sendmail stop geht nicht! Die Datei is gar nicht in dem Ordner.
Click to expand...
Dann hast Du vieleicht gar nicht sendmail sondern qmail, postfix o.ä.?
Aber es ist doch ein vServer mit RH9 oder?
Du kannst ja mal 'rcsendmail stop' oder 'service sendmail stop' versuchen, oder sonst was. Ich kann ja nicht alle Installationen und Distributionen und alle Versionen von Linux im Kopf haben.

huschi.
 
Ich dachte ich hab schon sendmail früher hab ichs auch schon mal so gestartet bzw. gestoppt. Hab den Server Neu installieren lassen wegen dem Upgrade auf die neue Confixx Pro Version und seitdem is das irgendwie nicht mehr da.

Betriebssystem: RedHat Linux 9 Server Edition

Meine Emails funzen einwandfrei (pop3/smtp -> mail.vielhuber.de)

Gott ich sterbe wenn da eine brutale Rechnung kommt :(


die anderen befehle funzen auch nicht (unrecognized service)
 
Was ich mit meine schon gut angesoffenen Kopp noch erkenne konnte, hier ein Tip:
Voice und Shoutcast-Server machen verdammt schnell mehr Traffic, als einem lieb ist.
 
Ja hotte aber ich hab doch gar keinen am laufen!
Oder etwa doch?!?!?!
Wie kann ich sendmail beenden? Der eine Befehl da funzt nicht :(

Danke schonmal :D
 
Shoutcast und Voiceserver waren mal aktiv.
Siehe bash_history
Maillog schaut soweit ganz ok, aus.

Um sendmail vorerst komplett abzuschalten (also auch nach reboot etc), gehe nach /etc/xinetd.d/ und öffne die Datei "sendmail". Dort dann das disable=no durch ein disable=yes ersetzen und den xinetd mit /etc/init.d/xinetd restart neu starten
Dürfte aber nich am sendmail liegen, vor allem, da der Traffic in den letzten Tagen wieder nachgelassen hat.
Glaube aber nicht, dass es am sendmail liegt.
Evtl. einer der Webuser, der mit php+ftp rumspielt?
 
lastlog ist alles OK.
Niemand außer mir und einem Mitarbeiter hat dort Zugriff.
Vielleicht ist es ja wirklich unsere hohe Besucherzahl unserer
Clanpage www.2dangerous.de - die ich inzwischen leider
offline setzen musste. Wir haben dort durchgehend mindestens
20 Leute gleichzeitig online. Aber ob das soooo viel Upstream
erzeugt? Ich weiß nicht... Sendmail scheint nicht schuldig
zu sein, da ich bis heute 2 mb traffic habe und sendmail
noch läuft. Ich glaube doch das das die Page ist.

Kleine Zwischenfrage:
Wenn ich auf das MAX Paket für 19,99 mit 50 GB Traffic aufstocke, gehen dann meine jetzige IP und Daten verloren? Ideal wärs natürlich, wenn die Aufstockung schnell ginge und alles, was am Server eingestellt wurde erhalten bleibt. Ansonsten muss ich mir etwas anderes überlegen.


gruß
david
 
Davidoff said:
Ich glaube doch das das die Page ist.
Click to expand...
Dann solltest Du den Upstream auch im Webalizer wieder finden.

Wenn ich auf das MAX Paket für 19,99 mit 50 GB Traffic aufstocke, gehen dann meine jetzige IP und Daten verloren?
Click to expand...
Irgendjemand hat es hier im Board mal gemacht ohne Datenverlust.
Ich glaub es wird lediglich etwas an Deiner VE eingestellt.
Aber das kann Hotte genauer beantworten.

huschi.
 
Huschi said:
Dann solltest Du den Upstream auch im Webalizer wieder finden.


Irgendjemand hat es hier im Board mal gemacht ohne Datenverlust.
Ich glaub es wird lediglich etwas an Deiner VE eingestellt.
Aber das kann Hotte genauer beantworten.

huschi.
Click to expand...

Habe die Umstellung vorgestern machen lassen und es sind alle Daten intakt.
Du solltest trotzdem Sicherungen der wichtigsten Daten vornhemen - man weiss ja nie! :)
 
You must log in or register to reply here.
Back
Top