Hallo,

auf einem meiner Server habe ich seit einige tagen etwa das dreißgfache
des üblichen Datentransfers.

Ich habe schon alles mir Bekannte durchsucht und auch durchsuchen lassen.
Ich finde einfach nichts. Dennoch möchte ich gerne wissen wo das her kommt.

Über Ideen freue ich mich sehr.

Viele Grüße

Eicke

Hast du Zugriff auf den Switch, an dem der Rechner hängt? Falls ja könntest du evtl. dort in Erfahrung bringen, was den Traffic verursacht. Ansonsten das Allheilmittel: tcpdump eine gewisse Zeit mitlaufen lassen und den Dump analysieren.
Ich nehme mal nicht an, dass es sich um so etwas triviales wie Traffic von einem FTP-Daemon, Mail- oder Webserver handelt, wenn du nichts gefunden hast.

Hmm, Du weißt nicht welche Dienste den Traffic verursachen? Schneide mal mit Ethereal ein paar Sekunden mit und schau was da so funkt. 'netstat -tulpen' zeigt die "lauschenden" Dienste ... Oder versteh' ich was falsch?

Grüße

Untergeher

was hat sich erhöht und was wird wie gemessen?
traffic eines bestimmten protokolls (ip, routerprotokolle) oder traffic auf bestimmten ports?
treten vielleicht durch netzwerkfehler retransmissions auf?


-j

Hallo,

natürlich habe ich Zugriff auf alle Systeme.

Hier mal die Ausgabe von




web:~# netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 0 3160 260/tcpserver
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 0 3162 258/tcpserver
tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 0 2811 157/inetd
tcp 0 0 0.0.0.0:9 0.0.0.0:* LISTEN 0 2808 157/inetd
tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN 0 2810 157/inetd
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 3158 257/tcpserver
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 3332 269/perl
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 3170 263/tcpserver
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 13593 3153/apache
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 3175 267/tcpserver
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 2870 215/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 3173 255/tcpserver
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 0 13592 3153/apache
udp 0 0 0.0.0.0:9 0.0.0.0:* 0 2809 157/inetd
web:~#




Irgendwie stehe ich auf dem Schlauch.

Ethereal habe ich noch nicht ausprobiert.

Iptraf hatte ich schon ausprobiert.

Viele Grüße

Eicke

gemessen wird direkt am CISCO Router, ...

eth0 Link encap:Ethernet HWaddr 00:0C:76:62:AE:A0
inet addr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.xxx Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4385597 errors:0 dropped:0 overruns:0 frame:0
TX packets:3781030 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3497891065 (3.2 GiB) TX bytes:3427970392 (3.1 GiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:49152 errors:0 dropped:0 overruns:0 frame:0
TX packets:49152 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:129243905 (123.2 MiB) TX bytes:129243905 (123.2 MiB)

web:~#

Da läuft IMAP wie ich sehe: prüfe mal die Mail-Logs. Ich hab hier seit einigen
Tagen extrem gestiegenen Mail-Traffic durch SPAM (70-80kb/Mail).
HTH
Wolfgang

Würde auch erst einmal das Mailsystem checken (logs+sniffs auswerten).
Es gibt seit kurzem wieder mal eine neue Sober-Wurmvariante.

Hallo,

sobald ich den stcker ziehe, hört es sofort auf: Siehe heute ab 9:30 Uhr
den Knick:

http://www.linuxforen.de/bilder/traffic_03.12.2004.png

Woran kann das mit diesem extrem hohen Traffic liegen?
Was kann ich dagegen tun?

Viele Grüße

Eicke

Iptraf hatte ich schon ausprobiert.

Guten Morgen Eicke,

was sagt denn Iptraf?
Damit müsstest Du doch sehen können von welchem Port der hohe Traffic verursacht wird...

mfg
cane

sobald ich den stcker ziehe, hört es sofort auf: Siehe heute ab 9:30 Uhr


naja, wenn man den Stecker zieht hört's natürlich auf ;-)

...

Die Möglichkeit, einzelne Dienste Stück für Stück abzuschalten, um so den "Versursacher" zu finden, wenn die Logs nichts hergeben hast Du nicht, oder? (vermute ich mal...)

Hallo cane,

auf dem Rechner ist naturgemäß eine Menge Traffic, das liegt
an den vielen Accounts für E-Mail.

Auf Zuruf könnte ich einem versierten User einen Login geben.

Viele Grüße

Eicke

hmm um wieviel ist denn der traffic erhöht?
besteht die möglichkeit das dir jemand ein rootkit untergejubelt hat?
ich mein n scriptkiddy das den server für warez nutzen will?

Hallo,

rootkit wurde schon geprüft, ist nichts drauf.

Viele Grüße

Eicke

Man könnte doch kurzfristig IPAC-NG (http://ipac-ng.sourceforge.net/) installieren. Dann kommt man der Sache vielleicht eher auf die Spur.

Hi Eicke,

wie hast du denn den Traffic gemessen? Geht da mehr raus oder mehr rein?

Zu Cisco-Routern fällt mir die Security Advisory vom 22.07.2004 ein (http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml). Das schon mal gecheckt?

MfG

LKH

Hallo LKH,

den CISCO habe schon geprüft. Es ist keiner, der von diesem Advisory
betroffen wäre.

Es geht genauso viel rein wie raus.

Viele Grüße

Eicke

gibt's evtl. die Möglichkeit, den Speicherplatz auf der Platte nachzuvollziehen - sollte es an erhöhtem Mailaufkommen liegen (z.B. wegen Würmern und so) - dann sollte das ja irgendwo landen, wenn es nicht wg. falscher Adressen oder so gebounct wird...

dann sieh dir mal, wie cane vorschlug, mit iptraf die verteilung an. da der cisco alles zählt, weiss man nicht, WAS genau sich erhöht hat.


-j

hallo!

ich hab das problem am server grad behoben.
eine mail ist zwichen dem server und einem anderem immer hin und her gegagngen.
der entfernte mta hat den header der mail gekillt. (schlechter filter oder so)
folglich konnte eickes mta nicht mehr feststellen, dass diese mail bereits gebounced wurde.

//richard

Um zu checken ob da viel über Mail-Würmer reinkommt, würde ich als
schnellen Test im Mail-Spool sehen was pro Stunde reinkommt:

find /var/spool/(imap)? -ctime 1 -size +36k -printf "%s\n" \
|awk '{tot+=$1} END{print tot}'

Bei dem Mailserver eines Kunden sind die problematischen Mails 40-80kb groß
und machen bis >80% des Gesamtraffics aus.

HTH
Wolfgang

EDIT: good news ;)

Um zu checken ob da viel über Mail-Würmer reinkommt, würde ich als
schnellen Test im Mail-Spool sehen was pro Stunde reinkommt:

find /var/spool/(imap)? -ctime 1 -size +36k -printf "%s\n" \
|awk '{tot+=$1} END{print tot}'

Bei dem Mailserver eines Kunden sind die problematischen Mails 40-80kb groß
und machen bis >80% des Gesamtraffics aus.

HTH
Wolfgang

EDIT: good news ;)
hi!

das is ein qmail-mta, da gibt es kein /var/spool/...

//richard