Portál AbcLinuxu, 8. května 2025 11:21

Dotaz: Abnormálně velký traffic

6.3.2016 20:48 Mirek | skóre: 12
Abnormálně velký traffic

Přečteno: 579×

Odpovědět | Admin

Mám VPS, na něm běží několik webu. Dle ISPconfigu mají denní traffic max několik stovek mega což zhruba odpovídá návštěvnosti a jejich obsahu. Ale vnstat ukazuje abnormálně velký odchozí traffic (za včera cca 19 Giga). Procházel jsem syslog a tam jsem nic nenašel. Po čem bych se měl ještě podívat abych identifikoval o co se jedná?

Nástroje: Začni sledovat (0) ?

Odpovědi

6.3.2016 21:03 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Abnormálně velký traffic

dns|ntp|... amplifier?

6.3.2016 22:27 Ján Dráb | skóre: 4 | Banská Bystrica
Rozbalit Rozbalit vše Re: Abnormálně velký traffic

zamylel by som sa nad možnosťou, že ten stroj je hacknuty. Pozri sa, ci ti len tak nahodou nebeží v tope binárka s 10znakovým názvom(random) a či ti náhodou nepribudla nová služba ;)

Everything has room for improvement.

6.3.2016 23:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Abnormálně velký traffic

Co si třeba zkusit sniffnout, co tam teče? (tcpdump)

7.3.2016 19:25 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Abnormálně velký traffic

Doufejte, že se nikdy nepotkáte s tazatelem z dotazu Jak se bránit proti DDOS.

Jinak pokud je ten provoz setrvalý, tak tcpdumpem na odchozím síťovém rozhraní zjistíte zdrojovou adresu odchozích packetů a tu si vyhledáte ve výstupu programu netstat nebo ss. Tam uvidíte číslo procesu, který je odesílá. A pak mocí ps nebo ještě lépe pomocí ls na /proc/PID/exe zjistíte program. Případně pomocí pstree zjistíte, jak byl spuštěn.

To vše ale v ideálním případě. Pokud útočník je zkušenější, tak se může schovávat.

Založit nové vlákno • Nahoru

Tiskni Sdílej: