Servus.

Mir tut sich da ein Rätsel auf...

Ich habe einen Root Server (SUSE 8.1) und bekomme von meinem Provider Traffic Warnungen. Inerhalb von ein paar Stunden mehrere GBs.

Jetzt möchte ich natürlich rausfinden woher dieser Traffic kommt. Ich habe mehrere Vhosts laufen, die ich aber mit webalizer überwache (da kommts nicht her).
Das log von vsftp zeigt auch keine connects in der Zeit an.
Und in messages finde ich auch keine ssh logins oder sonst was verdächtiges. Kann mir jemand helfen?

Danke

(D)DOS, evtl. scp, wie siehts mit HTTP aus?

Ein Blick in die Logfiles sollte ein bißchen mehr Auskunft darüber geben. Was liegt den auf dem Server? Bilder, Vidoe's oder ähnliches? Evtl. wurde das ganze mit wget gezogen.

Habe mehrere Rootserver die ich "betreue".
Wenn nicht sofort erklärbare Probleme mit dem Traffic auftauchen gehe ich folgendermaßen vor:

Server soweit möglich vom Netz trennen wie's geht. Evtl. nur noch SSH als Dienst laufen lassen wenn es nicht anders geht.
Nochmal gründlich alle Logdateien des Kernels und der laufenden Anwendungen durchgehen
Mittels z.B. iptraf prüfen ob noch immer hoher Datenverkehr entsteht
Auf Rootkits prüfen
Wenn alles kein Ergebnis bringt beim Provider melden.


Ein paar kleine Anhaltspunkte die ich meist in dieser Reihenfolge abarbeite wenn Probleme mit dem Traffic auftauchen.

Erstmal vielen Dank für die Vorschläge.


(D)DOS, evtl. scp, wie siehts mit HTTP aus?
-> Mit DOS Atacken kenn ich mich nicht aus, wie prüfe ich das. SCP und HTTP müsste ja in den Logs des Apache oder im "messages" auftauchen.


Ein Blick in die Logfiles sollte ein bißchen mehr Auskunft darüber geben. Was liegt den auf dem Server? Bilder, Vidoe's oder ähnliches? Evtl. wurde das ganze mit wget gezogen.
-> Die Homepages haben so ziemlich alles (Videos, Bilder, etc.). Wie schon gesagt in den Logfiles finde ich nichts. Wo müsste wget auftauchen? doch auch unter http, oder ?

Ich bräuchte ein Programm was den gesamten Traffic je Port mitloggt und ausgeben kann. Vorschläge ?

Vielen Dank.

Das geht mit iptables und einzelnen Targets die Du anlegen kannst.
Iptables zählt immer am Netzwerkinterface, egal auf welchen Port es rausgeht. Wenn Du für alle Port einzelne Targets anlegst, dürfte der Traffic am Port extra gezählt werden.

Egal was und wie das raus geht, es wird geloggt.
Ansonsten gehe so vor wie schon erwähnt.
Ich würde alle Dienste mal ausschalten (ausser ssh türlich) und mal schauen.
Eventl. hast Du ja ein offenes Mail Relay und Du merkst es nicht?

Falls es mal zum äussersten kommt, habe ich ein Hardlimit setzen lassen, so dass ich maximal 50 MB Traffic bezahlen muss, danach ist endgültig Feierabend....

Gruß Malte

Sieht aus als würdest Du von einer Warez-Seite benutzt...
Portscann auf deine eigene Maschiene gemacht?

Ich frage mal vorsichtig,

ist das ein Fall von,

ich bestell mir einen Rootserver habe mich jedoch nicht über die Gefahren informiert und keinerlei Hintergrundwissen zu den eventuell laufenden Diensten?

So da bin ich wieder... (urlaub is rum)

Also ich bin bestimmt kein Profi aber auch nicht gerade ein Anfänger.
Hier einmal die Ausgabe eines Portscans:


Starting nmap 3.46 ( http://www.insecure.org/nmap/ ) at 2004-05-24 14:29 CEST
Host 213.239.202.67 appears to be up ... good.
Initiating Connect() Scan against 213.239.202.67 at 14:29
Adding open port 22/tcp
Adding open port 2000/tcp
Adding open port 80/tcp
Adding open port 110/tcp
Adding open port 21/tcp
Adding open port 143/tcp
Adding open port 3306/tcp
Adding open port 111/tcp
Adding open port 10000/tcp
The Connect() Scan took 2 seconds to scan 1657 ports.
Interesting ports on 213.239.202.67:
(The 1647 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
110/tcp open pop-3
111/tcp open rpcbind
143/tcp open imap
2000/tcp open callbook
3306/tcp open mysql
6667/tcp filtered irc
10000/tcp open snet-sensor-mgmt
Nmap run completed -- 1 IP address (1 host up) scanned in 2.887 seconds



Ich gebe zu, nicht alle offenen Ports zu kennen und deuten zu wissen. (callbook, filtered irc, etc.), denke aber das System sollte recht geschlossen sein.
Der Traffic blieb nur 3 Stunden und belief sich auf 3,8GB - bislang ungeklärt.

Wie Jigsore schon schrieb:
mach alles dicht bis auf ssh (22) - ggf. kannst Du dafür auch noch von Protokoll Version 1 auf 2 umstellen (umstellen lassen).
Und dann alle Logfiles prüfen!
Beispiele:
/var/log/messages
/var/log/localmessage
/var/log/mail*
/var/log/%ftp% (weiß nicht wie die bei Dir heißen)
/var/log/httpd/*
...

3,6G in 3 Stunden ist schon ein Wert ... :eek:

Gruß

Schon getestet ob irgendwelche ungewollten Prozesse laufen?

Bei den ganzen offenen ports würde ich nicht unbedingt von einem geschlossenem System sprechen :p
Seh zu das du alles abschiesst ausser SSH und gehe die Tips, die Dir hier gegeben wurden, langsam und genau durch.

Außer Http(s) sollte nichts anonym erreichbar sein (wenns gebraucht wird) und auch der einzige port der sichtbar sein sollte ;)
Andere Dinge wie z.b. Deinen IRC Server oder FTP kannst Du z.b. zusätzlich schützen wenn Du zu jedem User eine oder mehrere passende IP's Vorraussetzt, wenn das noch nicht an der Firewall geschieht.

Also Port 10000 kann auch Webmin sein.

Ich würde das auf einem Root sofort killen, ich hatte es mal aktiv, weil es so toll einfach ging, bis ich mal gelesen hab das es dort einige Lücken gibt.

Lass mal chrootkit laufen und werte die Ergebnisse aus. Bei mir sagt es das ein Port Infected (bindshell) sei, aber das ist ein Fehler weil ich SMTPS nutze und in mehreren Foren dazu was steht. Also lass laufen, werte aus und frage dann bei Fragen nochmal nach.

Gruß Malte

PS: Das mit dem Traffic hatte ich auch mal, ich war auch schön am schwitzen, das Problem war nur, das ich einen Spielepatch angeboten habe (für eine kleine Gruppe), der ca. 500 MB hatte.
Irgendeiner konnte die Klappe nich halten und schwupps hatte ich an einem Tag mal 6 GB Traffic outgoing -> Kontrolle /var/log/httpd/* und vergiss den Taschenrechner nicht ;)

Nachdem ich das File nicht mehr anbiete, is Ruhe

Moin,
ich habe ihr eine lieste mit Ports und die Beschreibung.
Vielleicht hilft dir das ne bissel weiter.

Port 10000 soll danach das Network Data Management Protocol sein.
ndmp.org (http://www.ndmp.org)

Greetz
Dom

nur ne kleine anmerkung...das programm, das multe gemeint hat, heisst "chkrootkit" ;)
ist was rausgekommen bis jetzt?

nur ne kleine anmerkung...das programm, das multe gemeint hat, heisst "chkrootkit" ;)
ist was rausgekommen bis jetzt?

Öhm, jetzt wo Du es sagst...Aber was ist schon ein kleines "k" ;)

Gruß Malte

ehm Leute?! Wieso so umständlich? Ich denke der erste Schritt bei ungeklärtem Traffic ist mit z.b. iptraf (feststellen welche Ports den Traffic schmeissen), dann mit z.B. ethereal eben jene Ports monitoren. Das sollte dann sehr deutlich die Anwendung zum Vorschein bringen. Eventuell kann man auch ein "lsof" nach diesen Ports greppen, das sollte dann auf jeden fall finale Klarheit bringen.