gisteren is er geruime tijd voor 10Mbit verkeer uit mijn cpanel server gegaan.
Ik kon tijdens dit uitgaande verkeer niet vinden waar dat vandaan kwam.
server gereboot en alles was weer normaal.

nu gaat er weer voor 4Mbit uit, stat in whm zeggen niets.

iemand sugesties voor mij?

iptraf, tcpdump kunnen handig zijn om te zien wat er aan traffic in en uit komt.

Om te beginnen zou je een "netstat -anvp" kunnen doen om te kijken of established connections zijn op porten, en processen, die je normaal gesproken niet zou hebben.

volgens tcpdump gaat er veel verkeer naar italie.
Echter dit zijn nogal wat veel ip adressen.

verder onbekend waar het vandaan komt.

en van welke poorten naar welke poorten gaat het dan?

zie bijlage

daaruit kunt ge niet veel opmaken, toon anders eens is een tcpdump van een paar 1000 lijnen.

zie bijlage

volgens iptraf komt alles binnen op poort 1024 en 1025

netstat -alpen |grep 84.220.45.2 # dat italiaans IP

zou je moeten zeggen welk proces er data stuurt naar ginder.

Wel weinig records, ben je wel zeker dat er nog steeds zoveel dataverkeer naar buiten loopt?

tcp 8 94380 84.243.235.29:46766 84.220.45.2:1025 ESTABLISHED 99 1218653 2224/httpd -DSSL

7Mbit op dit moment aan uitgaand verkeer

tsja dan is het apache, moet je je apache access logs is checken of een apachectl fullstatus opvragen

Heb je misschien Shell Access aanstaan voor bepaalde domeinen?

Kijk anders eens met: netstat -na | grep serverIP | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n

Ip's die meer dan 50 connecties hebben zou ik nader onderzoeken.

Succes ermee!

ok het lijkt erop dat iemand het bekende bugje heeft gevonden in MYSQL 4.0.25.
Ik heb deze nu geupdate naar 4.1.18 en me trafic is nu al ruim 20 minuten 0.36 MBit.

(terwijl de ip's maar binnen blijven komen)

Kijk anders eens in je processenlijst. Het kan namelijk zijn dat iemand een progje(exploid) heeft neergezet in je /tmp en daar misbruik van heeft gemaakt. Je zou niet de eerst zijn die het is overkomen.