Ich habe auf einem Server (Debian) ungewöhnlich viel Traffic und kann mir trotz durchforstens sämtlicher logs nicht ganz erklären, wie das zustande kommt. Und dem Hoster will ich auch nicht gleich etwas unterstellen... ;-)

Also mein Problem: Ich brächte ein gutes Programm, das mir Infos über den gesamten Traffic mitschreibt (insbesondere welches Programm wieviel Traffic erzeugt) und eine entsprechende Auswertung ausspuckt.

natürlich ohne X-Oberfläche... (hätte als Visualisierungshilfe Apache & Tomcat noch darauf laufen) ... ansonsten wenn es geht commandline (ssh).

Versuch es mal mit NTOP. Damit siehst du primär schon mal _was_ da an Traffic von deinem System aus geht. Schau dir mal die Ausgabe von "netstat -tulpe" an, da siehst du welche Programme gerade aktiv sind und auf welchem Port sie ge
bunden sind. Versuch mal ausgehend alles, bis auf SSH, zu schließen (mit iptables) und öffne danach wieder nach und nach die Ports. Dabei solltest du den Traffic überwachen. Was läft denn auf deinem Server? Irgendwas sehr traffic-lastiges (Newsserver, Webserver, Proxy?).

Hey, vielen Dank für den Tipp. Mit NTOP komm ich der Sache schon näher. Da wird wohl pro Tag über ein halbes Gigabyte an Mails versendet... womit ich jetzt vor dem nächsten Problem stehe. Smtp-Auth ist aktiviert. Gibt es bei Sendmail irgend eine Möglichkeit zu ersehen, über welchen User die Mails rausgehen? Aus dem /var/log/mail/mail.log konnte ich das nicht ersehen... ich bin aber auch dummerweise ein absoluter Sendmail-Laie und bis ich mich da eingearbeitet habe sind wahrscheinlich wieder ein paar hundert Euro an Traffic verbraten.

Hat vielleicht wer nen Link, wo sowas wie eine "Sendmail-Sicherheits-Checkliste" ist, die man mal von oben bis unten abarbeiten kann?

Dat kosten ja n Schweinegeld, der ganze Traffic... :-(

Habe auch schon das chkrootkit (chkrootkit.org) drüberlaufen lassen - sagt mir alles sei ok!

überprüfe als erstes mal, ob das Ding ein OpenRelay ist - Links dazu solltest Du hier über die SuFu finden...

aber als erstes kann man ja sendmail einfach mal abschalten...

Du könntest auch mit iptables mal den SMTP-Verkehr protokollieren. Ich hatte in meinem Netz mal einen infizierten windows-PC, der fortwährend Mails verschickte (nochmals sorry an die Internetgemeinde an dieser Stelle). Das sind dann wohl typischerweise SMTP-Verbindungen, die sich nicht um den Smarthost kümmern, sondern direkte Verbindungen aufbauen (FORWARD statt INPUT). Alle Mails, die über den eigenen Mailserver gehen, erscheinen ja ohnehin im Logfile (/var/log/mail).

HTH,
mamue