Всем доброго времени суток!
В последнее время на сервере стал наблюдаться огромный перерасход входящего трафика. Путём установки iftop и наблюдения за показаниями данной программы удалось выявить ip адреса, с которых сервер постоянно что-то скачивает. Причём качать умудряется так, что на харде ничего не сохраняется и никаких следов от этого (кроме огромных счетов за трафик ) нет. Пробовали банить эти айпишники через ipfw, но никакого эффекта это не дало. По прежнему сервак качает именно с них. А вот другие айпи банятся без проблем.
Собственно, какие действия можно предпринять, чтобы избавиться от этой проблемы? Возможно, я не правильно указал правила для ipfw?
Пытался банить так:
deny ip from me to 121.165.121.45
deny ip from 121.165.121.45 to me
Всё равно этот айпишник сидит в самом верху iftop и жрёт кучу трафика.
00013 2035395 2296038442 deny ip from 121.165.121.45 to me
00013 1252870 1413292296 deny ip from 121.185.250.252 to me
00013 0 0 deny ip from 121.161.121.45 to me
00013 0 0 deny ip from 121.185.250.252 to me
00013 0 0 deny ip from 121.185.250.252 to me
00013 3 152 deny ip from 62.122.135.159 to me
00013 0 0 deny ip from 121.185.250.252 to me
00013 0 0 deny ip from 121.165.121.45 to me
00100 3915728 2943344987 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 218985963 208469248008 allow ip from any to any
65100 0 0 deny ip from 121.165.121.45 to any
65200 0 0 deny ip from 121.185.250.252 to any
65300 0 0 deny ip from me to 121.185.250.252
65400 0 0 deny ip from any to 121.185.250.252
65500 0 0 deny ip from any to 121.185.250.252
65500 0 0 deny ip from any to 121.165.121.45
65500 0 0 deny ip from me to 121.165.121.54
65500 0 0 deny tcp from any to 121.165.121.45
65500 0 0 deny tcp from me to 121.165.121.45
65500 0 0 deny ip from me to 121.165.121.45
65500 0 0 deny ip from 121.165.121.45 to me
65500 0 0 deny ip from 121.165.121.45 to me
65500 0 0 deny ip from me to 121.165.121.45
65535 901 974378 allow ip from any to any
могу предложить несколько вариантов - у вас троян или вас dos'ят
касательно трафика - правило блокирует трафик уже на сетевой карте, но пров то вам пакет отправил, и поэтому он его считает - так что тут надо по любому разговаривать с провайдером
tcpdump'om не смотрели? что за пакеты?
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Какие средства по борьбе с трояном можно предпринять? Вообще, насколько реально его обнаружить?
Примерно с неделю назад на сервер была ddos-атака, её отбили, но вот как раз с тех пор такая ситуация с трафиком.
Пакеты UDP в основном.
...............
16:11:14.493422 IP 121.165.121.45.12457 > unknown-2201.agava.net.9328: UDP, length 1061
16:11:14.494086 IP i220-221-52-171.s04.a001.ap.plala.or.jp.15254 > unknown-2201.agava.net.7459: UDP, length 1220
16:11:14.494177 IP 119.197.56.144.ntp > unknown-2201.agava.net.3065: NTPv3, Reserved, length 1065
...............
Отрубать все сервисы пробовал, всё равно трафик идёт в тех же количествах. Машина используется под сайт с посещаемостью 10 тысяч человек. Кроме DirectAdmin'а и его стандартных сервисов (httpd, mysqld и т.д.) ничего серьёзного не установлено.
но пров то вам пакет отправил, и поэтому он его считает - так что тут надо по любому разговаривать с провайдером
Писал провайдеру с просьбой забанить ip на маршрутизаторе, но они ответили отказом.
касательно трафика - правило блокирует трафик уже на сетевой карте
Да, но при блокировке ip из iftop пропадает (проверено на практике). Пропадают все, кроме этих. С них же как ни в чём не бывало идут пакеты.
Возможно ли определить, через какой порт идёт трафик? Может быть блокировкой этого порта получится решить проблему? Все основные порты проверил - через них не идёт.
) нет. Пробовали банить эти айпишники через ipfw, но никакого эффекта это не дало. По прежнему сервак качает именно с них. А вот другие айпи банятся без проблем.