Hallo allemaal,

Ik heb een dedicated server met Centos 5.2 64bits erop geinstalleerd.
Sinds de laatste tijd is er nogal extreem veel dataverkeer, nu heb ik een beetje gekeken op m'n server en niks geks gevonden.
Hoe kan ik zien waar dit verkeer vandaan kan komen?
Van welk programma of iets dergelijks?

Ik hoop dat iemand kan helpen!

Groeten

* via iftop kan je live zien... vanaf welke ip's etc
* netstat eens bekijken (man netstat / netstat --help)
* via snmp in samenwerking met cacti kan je het verkeer in grafieken zetten om te zien wanneer juist dit toeneemt (wil gerust wel iets samenklikken om je inzage hierin te geven als het om één servertje gaat ofzo)

* zeker controleren of er niets gek aan de hand is, (niet geupdate roundcube?) want commands zoals netstat etc kunnen aangepast zijn. (hiermee doel ik dan op een gehackte server)

Ook aan te raden (kweet alleen niet of het voor Centos ook bestaat):
iptraf
shell tooltje, maar erg netjes gemaakt.

Roundcube was inderdaad de oorzaak, die is eraf inmiddels en alles geupdate maar ik blijf een hoge traffic houden, ik ga even naar de programma's kijken.

Je doos is omgetoverd tot fxp / seedbox ?

Roundcube was inderdaad de oorzaak, die is eraf inmiddels en alles geupdate maar ik blijf een hoge traffic houden, ik ga even naar de programma's kijken.
het kan zijn dat dit niet gebruikt is het probleem in roudcube, maar een goede controle is toch wel altijd nodig. en ik raad aan toch wel eventueel een reïnstall indien mogelijk, je server kan helemaal aangepast zijn waarbij met wat zoekwerk dit ook allemaal mooi verborgen is...

Ik wil eerst nog proberen of ik iets kan vinden, een reinstall kan ik inderdaad altijd als laatste optie nog doen maar liever niet, alvast bedankt voor de reacties.

Hmz,

ls -la in je /tmp en/of in de dirs waar http/www user schrijf rechten heeft zou ook wonderen kunnen doen.

Heb je niet toevallig een gebruiker op je server welke een of andere file/film host wat 'veel' dataverkeer verbruikt ?

Ik heb deze server niet commercieel dus geen andere gebruikers behalve wat bekenden maar die hebben een limit via direct admin.
Ik had in m'n tmp map wat apps staan maar die heb ik volledig verwijdert.
d--x--x--x 6 root root 28672 Mar 4 20:34 .
drwxr-xr-x 24 root root 4096 Mar 2 03:29 ..
drwxrwxrwt 2 root root 4096 Mar 2 03:30 .font-unix
drwxrwxrwt 2 root root 4096 Mar 2 03:29 .ICE-unix
drwx------ 2 root root 4096 Mar 4 21:43 mc-root
drwxr-xr-x 2 root root 4096 Mar 4 20:13 .webmin

Die .. map heb ik ook verwijdert maar verder kan ik nergens wat vinden, ik draai momenteel alleen een 16 slots counterstrike server maar het lijkt me niet normaal als die 20 GB per dag trekt, overigens is dit wel minder dan toen die programma's nog installed waren, toen trok ik meer dan het dubbele.

Ik had in m'n tmp map ...
Die .. map heb ik ook verwijdert ...

die .. map (als je in /tmp zit) heb je verwijderd? Knap... en het draait verder nog wel lekker ?

Zet "server-status" bijvoorbeeld eens aan in httpd.conf

of via root even ps -auxf doen zie welke processen het meeste doen.
eventueel kijken waar de traffic heen gaat via netstat

die .. map (als je in /tmp zit) heb je verwijderd? Knap... en het draait verder nog wel lekker ?

quote of the day :stupid:

die .. map (als je in /tmp zit) heb je verwijderd? Knap... en het draait verder nog wel lekker ?
Ga de TS even lekker afvallen om zijn typ fout.. hij verteld in de 1e regel toch dat het om de map met 3x . gaat.

@ TS: je bak is gehacked, als er toch geen belangrijke dingen op draaien, maak dan een backup van je websites en herinstalleer de server.

Als je eenmaal een virus of rotzooi op je server hebt, kom je er vaak niet meer vanaf, zelfde als bij een PC, je kunt vaan scannen wat je wilt maar er blijven altijd resten achter. Een herinstallatie is de beste optie voor je lijkt me

Nogmaals bedankt voor alle reacties!

Ik ga inderdaad binnenkort de server laten reinstallen of ik stap gelijk over op een zwaardere.
Ik ben helaas niet zo'n linux pro maar het is een leerproces en ik krijg door dit soort dingen toch steeds meer ervaring, het is gelukkig maar hobbymatig dus echt consequenties zal het niet hebben.
Het moest inderdaad de ... map zijn en niet de .. , soms maak je wel 's typefouten :stuart:

Mja, reinstallen en nog niks aan security doen schiet ook niet op. Dan is het nog een kwestie van "wanneer is er er weer een remote hole...."

http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/