Hallo,

ein VServer (Debian - 6) verhält sich nicht wie erwartet, hier lief ein BIND, diesen habe ich allerdings schon gestoppt, trotzdem ist auf Port 53 immer noch extrem viel Traffic und er scheint IPTABLES zu ignorieren:

Hier ein tcpdump:


root@vserver:~# tcpdump port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:31:17.962453 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962481 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962487 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962494 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962502 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)
10:31:17.962566 IP 91.235.143.129.domain > x.x.x.x.domain: 952+ [1au] ANY? ripe.net. (38)


per IPTABLES habe ich nun die IP 91.235.143.129 versucht zu sperren:


iptables -A INPUT -s 91.235.143.129 -j DROP
iptables -A OUTPUT -s 91.235.143.129 -j DROP


Zudem habe ich noch die CSF-Firewall installiert und dort eben auch die IP gesperrt und auch den Port 53 (tcp & udp) ausgeschlossen. Trotzdem habe ich hier im tcpdump den Traffic.

Ich bin etwas ratlos. Da ich auch kein Prozess finden kann der etvl. diesen Traffic produziert.

Gruß

Ich bin etwas ratlos. Da ich auch kein Prozess finden kann der etvl. diesen Traffic produziert.


was sagt netstat

/etc/bind# netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 102 1817 1304/mysqld
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 80345 23807/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 3634 2002/exim4
tcp6 0 0 :::80 :::* LISTEN 0 3962 2115/apache2
tcp6 0 0 :::22 :::* LISTEN 0 80347 23807/sshd


Wie ich schon oben geschrieben hab, den bind hab ich abgestellt, aber der Traffic ist noch da.

Evtl. noch ein bissel Hintergrundwissen: der Server ist ein VServer der ungefähr 2007 gemietet worden ist, es war ein Debian 4.0 den ich jetzt erst (gestern) geupdatet habe auf 6 (über 5)
Der Server hat Jahrelang vor sich hin gearbeitet und wurde nicht mit dem Hintern angeschaut. Erst jetzt wo sich der Hoster gemeldet hat und sich über den hohen Traffic beschwert hat, hat sich jemand drum gekümmert. (ich selber bin ein Admin einer anderen Firma und wurde nur zum Helfen ausgeliehen, aber ich kann mir den Traffic nicht erklären, nach rootkits habe ich schon gesucht, aber keine gefunden - was nicht heißt das keine da sind - ungewöhnliche Prozesse finde ich auch keine)

Versuche mal die IP als localhost in der hosts datei anzugeben ob dann der Traffic aufhört. Sofern ja kein iptables greift.

Greeez Oli

Hallo,

den Hosteintrag habe ich sicherheitshalber auch noch vorgenommen. Allerdings scheine ich wohl eine falsche Auffassung der IPTABLES-Rules zu haben. Wie es scheint ist "nur" noch eingehender Traffic vorhanden, der via eth0 angenommen wird und dann via IPTABLES gedropt wird:


vnstat -l
Monitoring eth0... (press CTRL-C to stop)

rx: 248 kbit/s 490 p/s tx: 0 kbit/s 0 p/s


Jedenfalls kann ich mir zu Zeit nur so erklären warum noch Pakete angezeigt werden, obwohl kein Dienst mehr auf dem Server lauscht.

Gruß

Also 31KByte sind nicht wirklich Traffic. Deine Verbindung steht ja auch noch zum Server. Wie sieht den die History von vnstat aus?

Greeez Oli

vnstat -h
eth0 13:41
^ t
| t
| t
| t t
| t t t
| t t t t t
| t t t t t
| t t t t t t
| t t t t t t
| t t t t t rt
-+--------------------------------------------------------------------------->
| 14 15 16 17 18 19 20 21 22 23 00 01 02 03 04 05 06 07 08 09 10 11 12 13

h rx (KiB) tx (KiB) h rx (KiB) tx (KiB) h rx (KiB) tx (KiB)
14 0 0 22 0 0 06 64944 952256
15 0 0 23 0 0 07 69589 1416172
16 0 0 00 0 0 08 60143 1023371
17 0 0 01 0 0 09 209927 425423
18 0 0 02 0 0 10 66548 4246
19 0 0 03 0 0 11 70163 2543
20 0 0 04 43115 738651 12 73591 2385
21 0 0 05 59244 757912 13 43399 1211

vnstat -d

eth0 / daily

day rx | tx | total | avg. rate
------------------------+-------------+-------------+---------------
08/01/12 751.26 MiB | 5.08 GiB | 5.81 GiB | 980.07 kbit/s
------------------------+-------------+-------------+---------------
estimated 1.27 GiB | 8.82 GiB | 10.09 GiB |



Leider hat der vnstat heute nacht die db um 4 neu angefangen. Weiß der Teufel (nein, nicht BSD) warum...
Hatte vnstat extra gestern eingerichtet um zu sehen wie die Nacht verlief. Gesten hat der Server in 1g 2,5GB Traffic auf RX und TX gehabt. Ich denke die Maßnahmen wie IPTABLES und stoppen des Dienstes haben schon gegriffen, allerdings konnte ich mir die Einträge in tcpdump und im Netzwerkmonitor nicht erklären, da wird die IP die gesperrt wurde ja noch fleißig angezeigt.

Gruß