Traffic hoch

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 15:25:59

HuHu,

Da ich seit 13.12.05 einen dreifach so hohen traffic habe und nicht weis woher wollte ich fragen ob ihr mir da helfen könntet
und zwar bin ich auf die idee gekommen das ich nach dateien mit dem änderungsdatum suchen könnte aber weis nicht wie

Gruß Jan

Savar · Beitrag von **Savar** » 30.12.2005 15:32:44

wo hast du den? auf einem Server? bei dir zuhause?

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 15:34:14

Im rechenzentrum
Auf meinem server
anbindung 100Mbit
deshalb das problem

Oder gibt es vllt ein programm mit dem ich schauen kann woher der traffic kommt?

Gruß Jan

schoeppchen · Beitrag von **schoeppchen** » 30.12.2005 15:51:38

waldshuter-events hat geschrieben:Im rechenzentrum
Auf meinem server
anbindung 100Mbit
deshalb das problem

Oder gibt es vllt ein programm mit dem ich schauen kann woher der traffic kommt?

Gruß Jan

Ja, installier dir mal iptraf - da kannst du live recht schön sehen, wo dein Traffic hinwandert

Savar · Beitrag von **Savar** » 30.12.2005 16:05:01

was für dienste bietest du an? FTP ? HTTP? SSH? Hast du von FTP eine xferlog ?

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 16:19:55

also
http
ftp
ssh(nur für mich)
dann nen ts server cs server
psybnc (nur für mich)

aber läuft alles schon 6 monate

http://wte.g00g3l.de/xferlog

Gruß Jan

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 16:24:38

aber wtf is das

│ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (70 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (73 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (241 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (75 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (216 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (73 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (241 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (75 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (216 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (67 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (156 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (70 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (70 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0 │
│ UDP (70 bytes) from 194.145.226.100:32829 to 194.145.226.2:53 on eth0 │
│ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0

C_A · Beitrag von **C_A** » 30.12.2005 16:48:25

waldshuter-events hat geschrieben: │ UDP (169 bytes) from 194.145.226.2:53 to 194.145.226.100:32829 on eth0

Ich weiss zwar nicht was das fürn log file ist, aber auf Port 53 ist im Normalfall der DNS - Service.

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 16:51:03

Das is das logfile von iptraf aber dann ist das klar danke

waldshuter-events · Beitrag von **waldshuter-events** » 30.12.2005 18:47:47

Wah ich glaub ich habn spamm dings teil da druff

Outgoing rates: 820.1 kbits/sec

Kann mir einer sagen was ich jetzt am besten mach?

gibts da n spyware scanner oder so? O.o

ist langsam nicht mehr schön

Gruß Jan

Ach bla.... ich sollt zuerst schauen^^

sind ja bites gewesen
Outgoing rates: 34.7 kbytes/sec
das ia ja recht normal^^

danke trotzdem

mauser · Beitrag von **mauser** » 30.12.2005 18:53:58

hi,

du kannst z.b. einmal das Programm rkhunter drüber laufen lassen,welches rootkits findet.
Wenn du es dir leisten kannst, fahr doch einfach mal die Services einzeln herunter, dann siehst du doch wer den Traffic frist.
mfg
mauser

[edit] ach so, wenn du ja schon weisst das es nicht rechtens ist, das so viel traffic verbraucht wird, fährst du am besten alle Dienste ausser ssh runter, um Schaden zu vermeiden..

[edit2] hehe tja das passiert schonmal

schoeppchen · Beitrag von **schoeppchen** » 30.12.2005 18:55:23

Was sagt denn jetzt iptraf, an welche IPs mit welchen Ports geht denn da so viel?

SPAM: Dann hättest du in deinen Maillogs (sofern nicht vom Rootkit selbst deaktiviert) ja einen Anhaltspunkt für.

Ansonsten einfach mal Rootkithunter bzw. chkrootkit (gibts als Debian Package) installieren und suchen lassen.

Weiterhin mal ein netstat -anp machen und nach Unregelmäsigkeiten schauen - damit dürfte sich der Übeltäter doch finden lassen, oder?

waldshuter-events · Beitrag von **waldshuter-events** » 02.01.2006 13:39:38

netstat sieht recht normal aus glaub ich
edit bert: entfernt und nach http://nopaste.debianforum.de/2016 verschoben
Gruß Jan

Bert · Beitrag von **Bert** » 02.01.2006 13:52:08

Ích hab im letzten Post mal die netstat-Ausgabe entfernt. Bitte an unsere Verhaltensregel [1]halten.

[1] http://www.debianforum.de/wiki/Debianfo ... tensregeln

Bert