forum.opennet.ru - "Сервак ждёт траффик" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Сервак ждёт траффик"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Сервак ждёт траффик"
Сообщение от Doctorrr (ok) on 09-Авг-06, 19:02
Всем привет. Достался в наследтво сервак FreeBSD 5.4, он выполняет роли: * Samba сервера * тестового httpd сервера для разработчиков во внутренней сетке * proxy сервера для внутренней сети(снаружи закрыт) Недавно обнаружил, что он постоянно жрёт траффик, в т.ч.ночью, когда никого нет -- 5М исходящй + 10М входящий каждый час(количество довольно стабильно -- всегда примерно 5 IN и 10 OUT Мегабайт). Что делать, куда копать? Какие способы обнаружения такого траффика можно использовать? На всякий случай привожу список установленного софта: # pkg_info apache-2.0.55 Version 2 of Apache web server with prefork MPM. autoconf-2.13.000227_5 Automatically configure source code on many Unx platforms autoconf-2.59_2 Automatically configure source code on many Unx platforms bash-2.05b.007_4 The GNU Bourne Again Shell bash-3.0.16_1 The GNU Project's Bourne Again SHell bison-1.75_2 A parser generator from FSF, (mostly) compatible with Yacc cups-base-1.1.23.0_3 The Common UNIX Printing System: headers, libs, & daemons curl-7.15.0 Non-interactive tool to get files from FTP, GOPHER, HTTP(S) cvsup-without-gui-16.1h_2 General network file distribution system optimized for CVS expat-1.95.8 XML 1.0 parser written in C ezm3-1.2 Easier, more portable Modula-3 distribution for building CV fontconfig-2.2.3,1 An XML-based font configuration API for X Windows freetype2-2.1.10_1 A free and portable TrueType font rendering engine gd-2.0.33_3,1 A graphics library for fast creation of images gettext-0.14.1 GNU gettext package glib-1.2.10_11 Some useful routines of C programming (previous stable vers glib-2.6.3_1 Some useful routines of C programming (current stable versi gmake-3.80_2 GNU version of 'make' utility gnutls-1.0.24_1 GNU Transport Layer Security library gtk-1.2.10_13 Gimp Toolkit for X11 GUI (previous stable version) help2man-1.35.1 Automatically generating simple manual pages from program o imake-6.8.2 Imake and other utilities from X.Org ipcad-3.6.3 IP accounting daemon with Cisco-like RSH and NetFlow export isoqlog-2.2.1 A qmail, postfix, sendmail, exim MTA log analysis program jpeg-6b_3 IJG's jpeg compression utilities libgcrypt-1.2.1 "General purpose crypto library based on code used in GnuPG libgpg-error-1.0_1 Common error values for all GnuPG components libiconv-1.9.2_1 A character set conversion library libslang-1.4.9 Routines for rapid alpha-numeric terminal applications deve libtool-1.3.5_2 Generic shared library support script (version 1.3) libtool-1.5.10_1 Generic shared library support script (version 1.5) libxml2-2.6.18 XML parser library for GNOME lynx-2.8.5 A non-graphical, text-based World-Wide Web client lzo-1.08_1 Portable speedy, lossless data compression library m4-1.4.1 GNU m4 mc-4.6.1_2 Midnight Commander, a free Norton Commander Clone mod_php4-4.4.0,1 PHP Apache Module moon-buggy-1.0 Drive a buggy across the moons surface mysql-client-5.0.15 Multithreaded SQL database (client) mysql-server-5.0.15 Multithreaded SQL database (server) nmap-3.93 Port scanning utility for large networks nologinmsg-1.0 More functional native binary replacement for /sbin/nologin openvpn-2.0.2_1 Secure IP/Ethernet tunnel daemon p5-DBI-1.48 The perl5 Database Interface. Required for DBD::* modules p5-gettext-1.03 Message handling functions pcre-6.4 Perl Compatible Regular Expressions library perl-5.8.6_2 Practical Extraction and Report Language php4-mbstring-4.4.0 The mbstring shared extension for php php4-mysql-4.4.0 The mysql shared extension for php php4-pcre-4.4.0 The pcre shared extension for php php4-session-4.4.0 The session shared extension for php pkgconfig-0.15.0_1 A utility used to retrieve information about installed libr png-1.2.8_1 Library for manipulating PNG images popt-1.7 A getopt(3) like library with a number of enhancements, fro portupgrade-20041226_2 FreeBSD ports/packages administration and management tool s proftpd-1.3.0.r2_3 Highly configurable ftp daemon racoon-20050510a KAME racoon IKE daemon ruby-1.8.2_3 An object-oriented interpreted scripting language ruby18-bdb1-0.2.2 Ruby interface to Berkeley DB revision 1.8x with full featu samba-2.2.12 A free SMB and CIFS client and server for UNIX sarg-2.0.9 Squid log analyzer and HTML report generator screen-4.0.2_1 A multi-screen window manager sniffit-0.3.7b_2 A packet sniffer program. For educational use squid-2.5.11_1 The successful WWW proxy cache and accelerator sudo-1.6.8.7 Allow others to run commands as root tiff-3.7.1_2 Tools and library routines for working with TIFF images unzip-5.52_2 List, test and extract compressed files in a ZIP archive vim-6.4.0 Vi "workalike", with many additional features vtun-2.6 Virtual Tunnels over TCP/IP networks with traffic shaping webalizer-2.1.10_5 A web server log file analysis program wget-1.10.2 Retrieve files from the Net via HTTP and FTP xorg-libraries-6.8.2 X11 libraries and headers from X.Org Пожалуйста, посоветуйте способ, интернет траффик платный %(
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Сервак ждёт траффик, Shaokoa, 19:17 , 09-Авг-06, (1)

Сервак ждёт траффик, Doctorrr, 19:35 , 09-Авг-06, (2)

Сервак ждёт траффик, MiF, 21:32 , 09-Авг-06, (3)

Сервак ждёт траффик, JavaScript, 00:53 , 10-Авг-06, (4)

Сервак ждёт траффик, Doctorrr, 19:16 , 10-Авг-06, (7)
Сервак ждёт траффик, Doctorrr, 12:00 , 11-Авг-06, (10)

Сервак ждёт траффик, mmm, 15:21 , 10-Авг-06, (5)

Сервак ждёт траффик, Doctorrr, 19:17 , 10-Авг-06, (8)

Сервак ждёт траффик, Giro, 17:28 , 10-Авг-06, (6)

Сервак ждёт траффик, Doctorrr, 11:59 , 11-Авг-06, (9)

Сервак ждёт траффик, dravor, 12:09 , 11-Авг-06, (11)

Сервак ждёт траффик, Doctorrr, 13:22 , 11-Авг-06, (12)

Сервак ждёт траффик, mmm, 17:56 , 11-Авг-06, (13)

Сервак ждёт траффик, Giro, 22:49 , 11-Авг-06, (14)

Сообщения по теме [Сортировка по времени, UBB]

1. "Сервак ждёт траффик"

Сообщение от Shaokoa on 09-Авг-06, 19:17

Обязательно загляни в Планоровщик CRON (вроде бы) там точно что-то должен будеш найти ;) Тебе видно по наследству достался не один сервер а и еще целая куча бузумно реализованых идей.  Судя по списку софта  - это какое-то обновление.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 09-Авг-06, 19:35

>Обязательно загляни в Планоровщик CRON (вроде бы) там точно что-то должен будеш
>найти ;) Тебе видно по наследству достался не один сервер а
>и еще целая куча бузумно реализованых идей.  Судя по списку
>софта  - это какое-то обновление.
Вот кронтаб:
-------------------------------------------------------------------------
# /etc/crontab - root's crontab for FreeBSD
#
# $FreeBSD: src/etc/crontab,v 1.32 2002/11/22 16:13:39 tom Exp $
#
SHELL=/bin/sh
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
HOME=/var/log
MAIL=doctorrr
#
#minute hour    mday    month   wday    who     command
#
*/5     *       *       *       *       root    /usr/libexec/atrun
#
# Save some entropy so that /dev/random can re-seed on boot.
*/11    *       *       *       *       operator /usr/libexec/save-entropy
#
# Rotate log files every hour, if necessary.
0       *       *       *       *       root    newsyslog
#
# Perform daily/weekly/monthly maintenance.
1       3       *       *       *       root    periodic daily
15      4       *       *       6       root    periodic weekly
30      5       1       *       *       root    periodic monthly
#
# Adjust the time zone if the CMOS clock keeps local time, as opposed to
# UTC time.  See adjkerntz(8) for details.
1,31    0-5     *       *       *       root    adjkerntz -a
#Doctorrr's tasks:
@hourly  /usr/local/bin/sarg
@hourly /usr/local/sbin/apachectl restart
@hourly /usr/local/bin/webalizer
@daily  /usr/sbin/ntpdate -bs 62.117.76.139 195.230.70.112
-------------------------------------------------------------------------
Здессь вроде чисто.
Забыл добавить: кол-во траффика медленно растёт %(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Сервак ждёт траффик"

Сообщение от MiF (??) on 09-Авг-06, 21:32

crontab -l

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Сервак ждёт траффик"

Сообщение от JavaScript (ok) on 10-Авг-06, 00:53

кроном ночью запусти tcpdump

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 10-Авг-06, 19:16

>кроном ночью запусти tcpdump
Спасибо за совет

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 11-Авг-06, 12:00

>кроном ночью запусти tcpdump
Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера, даже когда в сети никого нет -- что это может быть?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Сервак ждёт траффик"

Сообщение от mmm (??) on 10-Авг-06, 15:21

>Всем привет.
>Достался в наследтво сервак FreeBSD 5.4, он выполняет роли:
>* Samba сервера

>proftpd-1.3.0.r2_3  Highly configurable ftp daemon
А не юзает ли кто твой ФТП?
посмотри логи!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 10-Авг-06, 19:17

>>Всем привет.
>>Достался в наследтво сервак FreeBSD 5.4, он выполняет роли:
>>* Samba сервера
>
>>proftpd-1.3.0.r2_3  Highly configurable ftp daemon
>А не юзает ли кто твой ФТП?
>посмотри логи!

Не, в ФТП я уверен, т.к. ставил его сам

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Сервак ждёт траффик"

Сообщение от Giro on 10-Авг-06, 17:28

>Что делать, куда
>копать? Какие способы обнаружения такого траффика можно использовать?
поставь trafshow или iptraf
увидишь откуда куда и сколько уходит трафика в данный момент!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 11-Авг-06, 11:59

>>Что делать, куда
>>копать? Какие способы обнаружения такого траффика можно использовать?
>
>поставь trafshow или iptraf
>увидишь откуда куда и сколько уходит трафика в данный момент!

Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это может быть?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Сервак ждёт траффик"

Сообщение от dravor (??) on 11-Авг-06, 12:09

>>>Что делать, куда
>>>копать? Какие способы обнаружения такого траффика можно использовать?
>>
>>поставь trafshow или iptraf
>>увидишь откуда куда и сколько уходит трафика в данный момент!
>
>
>Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это
>может быть?
У тебя sarg периодически запускается, а он может при построение отчета загружать DNS.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Сервак ждёт траффик"

Сообщение от Doctorrr (ok) on 11-Авг-06, 13:22

>>>>Что делать, куда
>>>>копать? Какие способы обнаружения такого траффика можно использовать?
>>>
>>>поставь trafshow или iptraf
>>>увидишь откуда куда и сколько уходит трафика в данный момент!
>>
>>
>>Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это
>>может быть?
>
>У тебя sarg периодически запускается, а он может при построение отчета загружать
>DNS.

sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть ещё догадки??

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Сервак ждёт траффик"

Сообщение от mmm (??) on 11-Авг-06, 17:56

>sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть
>ещё догадки??
Единственная мысль - криво настроен. Пересмотри внимательно конфиги. Я думаю что он(ДНС сервер) пытается раз в час получить базу с рутовых серверов.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Сервак ждёт траффик"

Сообщение от Giro on 11-Авг-06, 22:49

>>sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть
>>ещё догадки??
>Единственная мысль - криво настроен. Пересмотри внимательно конфиги. Я думаю что он(ДНС
>сервер) пытается раз в час получить базу с рутовых серверов.
Если обращения к DNS идут постоянно и в таком количестве (10Mb это до хрена запросов) есть тогда такая идея. Я гдето читал что если запустить снифер по умолчанию, то он пытается отрезолвить каждый хост в сетке. И даже типа метод такой есть по поиску сниферов - когда хост много DNS запросов посылает. А у тебя в списке софта есть снифер.
Погляди вообще чего у тебя там за процессы запущены.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сервак ждёт траффик"
Сообщение от Shaokoa on 09-Авг-06, 19:17
Обязательно загляни в Планоровщик CRON (вроде бы) там точно что-то должен будеш найти ;) Тебе видно по наследству достался не один сервер а и еще целая куча бузумно реализованых идей. Судя по списку софта - это какое-то обновление.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 09-Авг-06, 19:35
	>Обязательно загляни в Планоровщик CRON (вроде бы) там точно что-то должен будеш >найти ;) Тебе видно по наследству достался не один сервер а >и еще целая куча бузумно реализованых идей. Судя по списку >софта - это какое-то обновление. Вот кронтаб: ------------------------------------------------------------------------- # /etc/crontab - root's crontab for FreeBSD # # $FreeBSD: src/etc/crontab,v 1.32 2002/11/22 16:13:39 tom Exp $ # SHELL=/bin/sh PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin HOME=/var/log MAIL=doctorrr # #minute hour mday month wday who command # /5 * * * root /usr/libexec/atrun # # Save some entropy so that /dev/random can re-seed on boot. /11 * * * operator /usr/libexec/save-entropy # # Rotate log files every hour, if necessary. 0 * * * * root newsyslog # # Perform daily/weekly/monthly maintenance. 1 3 * * * root periodic daily 15 4 * * 6 root periodic weekly 30 5 1 * * root periodic monthly # # Adjust the time zone if the CMOS clock keeps local time, as opposed to # UTC time. See adjkerntz(8) for details. 1,31 0-5 * * * root adjkerntz -a #Doctorrr's tasks: @hourly /usr/local/bin/sarg @hourly /usr/local/sbin/apachectl restart @hourly /usr/local/bin/webalizer @daily /usr/sbin/ntpdate -bs 62.117.76.139 195.230.70.112 ------------------------------------------------------------------------- Здессь вроде чисто. Забыл добавить: кол-во траффика медленно растёт %(
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Сервак ждёт траффик"
	Сообщение от MiF (??) on 09-Авг-06, 21:32
	crontab -l
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Сервак ждёт траффик"
	Сообщение от JavaScript (ok) on 10-Авг-06, 00:53
	кроном ночью запусти tcpdump
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 10-Авг-06, 19:16
	>кроном ночью запусти tcpdump Спасибо за совет
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 11-Авг-06, 12:00
	>кроном ночью запусти tcpdump Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера, даже когда в сети никого нет -- что это может быть?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

5. "Сервак ждёт траффик"
Сообщение от mmm (??) on 10-Авг-06, 15:21
>Всем привет. >Достался в наследтво сервак FreeBSD 5.4, он выполняет роли: >* Samba сервера >proftpd-1.3.0.r2_3 Highly configurable ftp daemon А не юзает ли кто твой ФТП? посмотри логи!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 10-Авг-06, 19:17
	>>Всем привет. >>Достался в наследтво сервак FreeBSD 5.4, он выполняет роли: >>* Samba сервера > >>proftpd-1.3.0.r2_3 Highly configurable ftp daemon >А не юзает ли кто твой ФТП? >посмотри логи! Не, в ФТП я уверен, т.к. ставил его сам
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

6. "Сервак ждёт траффик"
Сообщение от Giro on 10-Авг-06, 17:28
>Что делать, куда >копать? Какие способы обнаружения такого траффика можно использовать? поставь trafshow или iptraf увидишь откуда куда и сколько уходит трафика в данный момент!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 11-Авг-06, 11:59
	>>Что делать, куда >>копать? Какие способы обнаружения такого траффика можно использовать? > >поставь trafshow или iptraf >увидишь откуда куда и сколько уходит трафика в данный момент! Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это может быть?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "Сервак ждёт траффик"
	Сообщение от dravor (??) on 11-Авг-06, 12:09
	>>>Что делать, куда >>>копать? Какие способы обнаружения такого траффика можно использовать? >> >>поставь trafshow или iptraf >>увидишь откуда куда и сколько уходит трафика в данный момент! > > >Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это >может быть? У тебя sarg периодически запускается, а он может при построение отчета загружать DNS.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "Сервак ждёт траффик"
	Сообщение от Doctorrr (ok) on 11-Авг-06, 13:22
	>>>>Что делать, куда >>>>копать? Какие способы обнаружения такого траффика можно использовать? >>> >>>поставь trafshow или iptraf >>>увидишь откуда куда и сколько уходит трафика в данный момент! >> >> >>Спасибо! Выяснилось, что сервер постоянно обращается к DNS провайдера -- что это >>может быть? > >У тебя sarg периодически запускается, а он может при построение отчета загружать >DNS. sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть ещё догадки??
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	13. "Сервак ждёт траффик"
	Сообщение от mmm (??) on 11-Авг-06, 17:56
	>sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть >ещё догадки?? Единственная мысль - криво настроен. Пересмотри внимательно конфиги. Я думаю что он(ДНС сервер) пытается раз в час получить базу с рутовых серверов.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	14. "Сервак ждёт траффик"
	Сообщение от Giro on 11-Авг-06, 22:49
	>>sarg запускается раз в час, а коннекты к DNS идут постоянно. Есть >>ещё догадки?? >Единственная мысль - криво настроен. Пересмотри внимательно конфиги. Я думаю что он(ДНС >сервер) пытается раз в час получить базу с рутовых серверов. Если обращения к DNS идут постоянно и в таком количестве (10Mb это до хрена запросов) есть тогда такая идея. Я гдето читал что если запустить снифер по умолчанию, то он пытается отрезолвить каждый хост в сетке. И даже типа метод такой есть по поиску сниферов - когда хост много DNS запросов посылает. А у тебя в списке софта есть снифер. Погляди вообще чего у тебя там за процессы запущены.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]