Onderwerp: Onverwacht hoge bandbreedte

Ik heb voor het eerst een VPS (voor eigen sites) en na een half jaar tevreden gebruik ik vraag me af of ik geDDOSsed wordt; Ik verbruik plotseling veel bandbreedte, zonder dat dit relatie heeft met het bezoek van mijn sites. Zo ben ik zomaar door mijn bandbreedte heen...

Dit is de software die ik draai:

- HyperVM
- Centos 5
- DirectAdmin

Ik heb RKhunter en ClamAV gedraaid en niks gevonden. In de logfiles van mijn server ontdekte ik op het eerste gezicht niks.

Ik ben dolend, niet zoekend, want ik weet niet in welke richting ik moet kijken. Wat kan ik het beste doen? Welke informatie kan ik het beste lezen? Waar moet ik beginnen?

Laat me raden, zeker een gekke oude Joomla installatie?

Met RKhunter zul je niets vinden. Alleen pakketten van prutsers vind je hier mee, een beetje een pr0 die bezig is geweest zul je niet vinden.

Om te beginnen zoek je de /home directory even door, om te kijken waar bestanden van zegge groter dan 5 Mb te vinden zijn. Doe dat met onderstaand commando. Lukt dat niet, huir dan iemand in die je verder kan helpen, want wat ik begrijp is je kennis beperkt. Directadmin updaten is meer dan enkel af en toe op het update knopje klikken en een standaard installatie is verre van veilig in een shared omgeving.

Code:

find /home/*/domains/* -type f -size +5000k -exec ls -lh {} \; | awk '{ print $5 " " $9 }'

bedankt voor je reactie.

Ik heb geen bestanden > 5 MB gevonden, op wat back-ups na. Ik heb qua linux vooral ervaring op mijn desktop (en dat is meestal probleemloos).

Wat zijn de volgende stappen? Een specialist inhuren lijkt me al snel wat drastisch voor een paar hobbymatige websites...

Oorspronkelijk geplaatst door merlijn12

Ik heb qua linux vooral ervaring op mijn desktop (en dat is meestal probleemloos).

Die mensen ken ik. Jat de muis en ze kunnen niets meer

Even enkele dingen:
* Kijk je /tmp na of hier geen gekke Perl/Bash bestandjes staan (al zou deze noexec,nosuid gemount moeten zijn);
* Gebruik 'netstat -tap' en houdt poort 6667 (IRC) in de gaten of een andere backdoor;
* Kijk ook je /var/tmp na, al hoort deze gesymlinked te zijn met je /tmp. Niet alle distro's doen dit;
* Installeer een firewall. Configserver/CSF bijvoorbeeld. Zo worden uitgaande connecties op gekke poorten geblocked;
* Kijk in CSF naar de 'Check Server Security'. Je ziet dat er op een standaard systeem best nog veel gedaan moet worden;
* Of je doet niets, en wacht de rekening af die je provider je zal sturen. Bedragen van 1 of 1,5 euro per Gbyte zijn niet ongewoon.

Waarom helpt je provider je hier trouwens niet mee?

Dag Merlijn,

Eerste vraag is of het inkomend of uitgaand is. Mogelijk dat je grafieken kunt inzien en anders even met je provider overleggen, die kan dat vast achterhalen.
- inkomend: iemand bestookt jouw server. De provider kan zo'n aanval tegenhouden door tijdelijk het betrokken IP-adres te "nullrouten" (komt het dus niet bij jouw aan).
- uitgaand: zie de adviezen van Randy. Iemand maakt misbruik van je machine. En dan wordt het zoeken tot je de probleemmaker gevonden hebt en vervolgens nog de achterdeur naar je server dichtmaken. Dat is toch al gauw werk voor een specialist.

vr.gr. Eef