vServer - extreme Auslastung - 6GB traffic pro stunde

P

PeterOG

New Member
Hallo,
mein vServer produziert ab und zu bis zu 6GB Traffic die Stunde.
Normal sind es 200-300 MB.
Der Server ist total ausgelastet und hat ständig Timeouts.

Kann mir bitte jemand einen Tip geben wie ich überprüfen kann woher der Traffic kommt und dies dann unterbinden?

Mein OS ist Suse 10.0 und Plesk ist auch installiert

Vielen Dank schonmal im vorraus.

MFG Peter
 
Du beendest jetzt während Du das hier liest, Deinen Mailserver und schaust danach in
Code: 
/var/log/mail.info
, was da so los ist. Mit an Sicherheit grenzender Wahrscheinlichkeit versendet Dein Server Spam.
 
In Plesk komm ich leider nicht Rein. Habe dauernd Timeouts deshalb kann ich den mailserver nicht ausschalten.
Putty geht noch mit sehr hoher verzögerung.
Kann Ich mein Mailserver (glaube Postman) irgendwie per Putty ausschalten?
Habe ja sonst keine berechtigung die Log anzuschauen
 
Verbinde dich mit Putty und schau einmal mit "top" nach, was so eine hohe Auslastung verursacht, dies wird dann wahrscheinlich auch der Prozess sein, welcher so viel Traffic verursacht.

Dann kannst du im normalfall mit "/etc/init.d/DIENSTNAME stop" den Dienst beenden.
 
Also Teamspeak 50% cpu auslastung? hmmm stealth? hacker?
user ts löschen oder was mach ich jetz am besten?

MOD : Bilder bitte immer als Anhang. Danke.
 

Attachments

  • bzeukh.png
    bzeukh.png
    20 KB · Views: 206
Last edited by a moderator:
Code: 
kill -9 24517

Und danach solltest Du mal schauen, warum und woher das überhaupt kam. Logfiles :)

Gruß
Wolfgang
 
Kannst Du mir vielleicht einen Tip geben welche logfiles und wo ich die finde bzw. öffnen kann?
Also in var/log/messages liegen eigentlich meine logfiles und mit tail -f /var/log/messages kann ich mir aktuelle Meldungen anzeigen lassen.

Der Dienst hat sich übrigens mehrfach die PID geändert und ist von alleine verschwunden jetzt geht mein Server wieder
 
Ah Hilfe!!!
Hab jetzt schon den Ts user mit userdel gelöscht. Da ist irgendwer in meinem System der Chaos stiftet :mad:
./stealth 195.197.175.21 53 steht da. Also 195.197.175.21 ist über Port 53 da drinne aber was nun?
Benutzername ist 10007 der Benutzer existiert aber nicht. Der dumme Finne legt mir alles lahm :(
 
Last edited by a moderator:
Deinen Server im Rescue Modus starten, was bei den meisten Hostern über deren Control Panel gemacht werden kann, danach ist (theoretisch) nur noch der SSH Dienst am laufen/erreichbar, zumindest ist das so bei S4Y.
 
Mit
Code: 
kill -9 <PID>
kannst du den Prozess auch beenden bzw. abschießen. Die PID findest du in "top" ganz links.
 
Gibt leider kein Rescue Mode. Bin bei 1blu die haben im Kundenbereich nur Neuinstallation und darauf leg ich nicht sonderlich Wert.
Wie kann ich den denn von meinem System kicken? Ich bin root und er nur 10007 ^^ Die IP hat sich sogar geändert jetzt. Aber immernoch n stealth der mehr als 50% vom cpu brauch über den Benutzer 10007. Hat da keiner ne Idee was ich machen kann? Der Rechner von dem Bösewicht soll ja nicht gleich in die Luft fliegen. Es würde mir schon reichen wenn ich meine Ruhe habe.
 
Lass zur Sicherheit auch mal chrootkit oder ähnliches drüberlaufen, wenn nämlich ein Rootkit installiert ist kommst du mit einfachem killen der Prozesse garnicht weiter.
 
Darkdream said:
Mit
Code: 
kill -9 <PID>
kannst du den Prozess auch beenden bzw. abschießen. Die PID findest du in "top" ganz links.
Click to expand...

Das ist nicht das Problem. Der Prozess wird immerwieder neu gestartet. Habe schon etliche Male den Prozess entfernt und sogar den dazugehörigen Benutzer gelöscht. Jetzt heißt der Benutzer 10007 und ich kann ihn nicht löschen.
 
Server

Code: 
init─┬─4*[courierlogger]
     ├─4*[couriertcpd]
     ├─cron
     ├─dbus-daemon
     ├─drwebd
     ├─hald
     ├─httpd2-prefork───9*[httpd2-prefork]
     ├─httpsd───2*[httpsd]
     ├─monit
     ├─mysqld_safe───mysqld
     ├─named
     ├─postmaster─┬─postmaster
     │            └─postmaster───postmaster
     ├─qmail-send─┬─qmail-clean
     │            ├─qmail-lspawn
     │            ├─qmail-rspawn
     │            └─splogger
     ├─saslauthd───saslauthd
     ├─spamd───spamd
     ├─sshd───sshd───bash───pstree
     ├─syslogd
     ├─wdcollect
     └─xinetd
MOD : Bitte CODE TAGS verwenden. Danke.
 
Last edited by a moderator:
hehe:D
Also der Prozess läuft nicht mehr, falls er es nochmal probieren sollte werde ich es mal posten.
Ich hoffe ja das wars jetzt erstmal. Bin gerade dabei damit beschäftigt rauszufinden wie der reingekommen ist und was der gemacht hat und wie ich ne fangschaltung oder sowas einrichten kann.

Und sry an die Mods. Mit den Code Tags und Anhängen kommt nichtmehr vor;)
 
You must log in or register to reply here.
Back
Top