tfwfactory
27/05/2014, 01:07
Compara con una monitorización externa , sinceramente no suelo usar la monitorización de OVH , saludos
Utilización de Red excesiva [Tráfico de entrada]
SRClacks
27/05/2014, 00:10
eso he pensado yo porque me he vuelto loco. El ticket, lo abrí esta tarde, a ver que se cuentan.
Ya os contaré. gracias a todos
Ya os contaré. gracias a todos
Ros
26/05/2014, 21:43
Yo creo recordar que no, el trafico que te aspiran no sale en el manager.
Lo más normal es que haya algún error de puertos, te estarán monitorizando un puerto de otra persona, abre un ticket a OVH y que lo miren, lo que dice iftop va a misa ! jajaja
Saludos.
Lo más normal es que haya algún error de puertos, te estarán monitorizando un puerto de otra persona, abre un ticket a OVH y que lo miren, lo que dice iftop va a misa ! jajaja
Saludos.
Samael
26/05/2014, 20:48
En OVH casi todo es BETA así que todo puede ser.
No sé cómo funciona la protección DDOS nunca me ha llegado un ataque, pienso que tal vez el ataque esta y te lo están aspirando y se ve el trafico en el grafico, es una suposición porque no sé cómo funciona (en mis enlaces funciona así), de igual forma podrías enviar un correo para consultar a soporte.
No sé cómo funciona la protección DDOS nunca me ha llegado un ataque, pienso que tal vez el ataque esta y te lo están aspirando y se ve el trafico en el grafico, es una suposición porque no sé cómo funciona (en mis enlaces funciona así), de igual forma podrías enviar un correo para consultar a soporte.
SRClacks
26/05/2014, 20:22
Gracias Ros, un buen aporte,
Me estoy volviendo loco ya, tras blindar el server y ahora verificar las conexiones entrantes y salientes con el iftop veo que no hay conexiones raras, solo la mía del SSH y está todo normal, en cambio por el MRTG de ovh sigue dando 4mb/s aprox. Adjunto una captura de la comparación de ambos.
Puede ser que el MRTG de ovh esté mal y yo ande loco?
Gracias de verdad, por la ayuda,
https://www.dropbox.com/s/z87hhcllex7xgl2/ovh.jpg
Me estoy volviendo loco ya, tras blindar el server y ahora verificar las conexiones entrantes y salientes con el iftop veo que no hay conexiones raras, solo la mía del SSH y está todo normal, en cambio por el MRTG de ovh sigue dando 4mb/s aprox. Adjunto una captura de la comparación de ambos.
Puede ser que el MRTG de ovh esté mal y yo ande loco?
Gracias de verdad, por la ayuda,
https://www.dropbox.com/s/z87hhcllex7xgl2/ovh.jpg
Ros
26/05/2014, 16:39
Puedes hacer un netstat -putona para ver las conexiones que tienes establecidas.
Si lo que quieres es ver el tráfico a que IP se está enviando, te recomiendo una herramienta de linux que puede salvarte el culo en esta y otras ocasiones: iftop
En Debian / Ubuntu la tienes en aptitude (apt-get install iftop) en CentOS, la tienes dentro de los repo EPEL.
Saludos !
Si lo que quieres es ver el tráfico a que IP se está enviando, te recomiendo una herramienta de linux que puede salvarte el culo en esta y otras ocasiones: iftop
En Debian / Ubuntu la tienes en aptitude (apt-get install iftop) en CentOS, la tienes dentro de los repo EPEL.
Saludos !
SRClacks
26/05/2014, 11:05
Estoy de vuelta, de momento todo bien con CSF, todo configurado. los logs ya no emiten intentos de login ssh ni nada raro pero el ancho de banda actual de entrada sigue en 15Mb/s.
Hay alguna manera de monitorizar que servicio recibe la entrada de ese ancho de banda?
Gracias de verdad
Hay alguna manera de monitorizar que servicio recibe la entrada de ese ancho de banda?
Gracias de verdad
SRClacks
26/05/2014, 08:38
Gracias de nuevo.
Finalmente he instalado CSF y lo manejo con la UI de webmin.
Vamos a ver ahora como evoluciona.
Finalmente he instalado CSF y lo manejo con la UI de webmin.
Vamos a ver ahora como evoluciona.
tfwfactory
26/05/2014, 08:08
En vez de CSF puedes utilizar APF , aqui te dejo una guia para este otro firewall que para Plesk tambien resuta interesante y de paso otras posibilidades de pago para Plesk : http://www.grafxsoftware.com/faq.php...ed-Server/1/4/
Saludos
Saludos
SRClacks
25/05/2014, 22:35
Gracias a los dos por las ayudas. Tenia el firewall de plesk.
A parte de CSF, me recomendáis algún otro aunque sea de pago? Gracias.
A parte de CSF, me recomendáis algún otro aunque sea de pago? Gracias.
tfwfactory
25/05/2014, 16:35
Cmo dice Samael mira en los logs a ver que tipo de entradas hay y si hay algo relacionado con un intento de ataque por puerto , con CSF podrías bloquear ese puerto o bien la ip , las medidas de seguridad básicas son poner CSF como mínimo , Saludos
Samael
25/05/2014, 15:15
Me parece que es un ataque UDP a baja escala, de seguro no tienes ningún corta fuegos, instala CSF y veras como van llegando los avisos de lo que bloquea.
SRClacks
25/05/2014, 12:24
Buenas tardes y gracias por la rápida respuesta.
No me refería a la velocidad del servidor de bajada o subida. Me refiero al ancho de banda actual del servidor el cual está sacando una media alta de 13.8 Mb/s de tráfico de entrada cuando el servidor de momento no tiene ningún uso. Suena sospechoso y tras ver los Logs encuentro intento de conexiones por doquier:
..............
May 25 11:13:54 nsx sshd[6013]: reverse mapping checking getaddrinfo for c111-189.globus-telecom.com [82.198.189.111] failed - POSSIBLE BREAK-IN ATTEMPT!
May 25 11:13:54 nsx sshd[6013]: Invalid user teamspeak from 82.198.189.111
May 25 11:13:54 nsx sshd[6014]: input_userauth_request: invalid user teamspeak
May 25 11:13:54 nsx sshd[6013]: pam_unix(sshd:auth): check pass; user unknown
May 25 11:13:54 nsx sshd[6013]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.198.189.111
May 25 11:13:54 nsx sshd[6013]: pam_succeed_if(sshd:auth): error retrieving information about user teamspeak
May 25 11:13:56 nsx sshd[6013]: Failed password for invalid user teamspeak from 82.198.189.111 port 55162 ssh2
May 25 11:13:56 nsx sshd[6014]: Received disconnect from 82.198.189.111: 11: Bye Bye
Qué os parece?
Gracias.
No me refería a la velocidad del servidor de bajada o subida. Me refiero al ancho de banda actual del servidor el cual está sacando una media alta de 13.8 Mb/s de tráfico de entrada cuando el servidor de momento no tiene ningún uso. Suena sospechoso y tras ver los Logs encuentro intento de conexiones por doquier:
..............
May 25 11:13:54 nsx sshd[6013]: reverse mapping checking getaddrinfo for c111-189.globus-telecom.com [82.198.189.111] failed - POSSIBLE BREAK-IN ATTEMPT!
May 25 11:13:54 nsx sshd[6013]: Invalid user teamspeak from 82.198.189.111
May 25 11:13:54 nsx sshd[6014]: input_userauth_request: invalid user teamspeak
May 25 11:13:54 nsx sshd[6013]: pam_unix(sshd:auth): check pass; user unknown
May 25 11:13:54 nsx sshd[6013]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.198.189.111
May 25 11:13:54 nsx sshd[6013]: pam_succeed_if(sshd:auth): error retrieving information about user teamspeak
May 25 11:13:56 nsx sshd[6013]: Failed password for invalid user teamspeak from 82.198.189.111 port 55162 ssh2
May 25 11:13:56 nsx sshd[6014]: Received disconnect from 82.198.189.111: 11: Bye Bye
Qué os parece?
Gracias.
tfwfactory
25/05/2014, 12:05
No se entiende muy bien a que te refieres , por esos valores que pones parece que te refieres a velocidad del servidor , pero en realidad preguntas - o parece - por consumo de ancho de banda , que test estás ejecutando exactamente , el monitoring de OVH puede darte una ligera idea pero no es lo ideal
Puedes hacer un test de velocidad con iperf por ejemplo o bien descargar mediante wget algún atchivo pesado y ver que velocidad te da o subirlo a tu server el archivo y testearlo
En cuanto a monitorización , aqui tienes opciones gratuitas muy interesantes : http://www.gfi.com/blog/the-top-20-f...or-sys-admins/
Revisa los logs para ver si hay mucho tráfico raro y usa CSF para bloquear
Saludos
Puedes hacer un test de velocidad con iperf por ejemplo o bien descargar mediante wget algún atchivo pesado y ver que velocidad te da o subirlo a tu server el archivo y testearlo
En cuanto a monitorización , aqui tienes opciones gratuitas muy interesantes : http://www.gfi.com/blog/the-top-20-f...or-sys-admins/
Revisa los logs para ver si hay mucho tráfico raro y usa CSF para bloquear
Saludos
SRClacks
25/05/2014, 11:55
Buenos días, he intentado buscar info antes de postrar pero no encuentro nada claro. A ver, si alguien me echa un cable.
Resulta que desde hace 7 días el trafico medio de entrada de mi servidor se sitúa en 13.8 Mb/s y salida 28.5 kb/s.
La cuestión es que el servidor no tiene uso de momento, estoy configurando he instalando algunas cosas pero no tiene trafico como para que salte esa media.
Creéis que es normal?
Como puedo monitorizarlo para saber de donde procede ese trafico de entrada?
Ultimo mes:
https://www.dropbox.com/s/i4l11vv5hkm5nwh/shoot.png
Gracias compañeros.
Resulta que desde hace 7 días el trafico medio de entrada de mi servidor se sitúa en 13.8 Mb/s y salida 28.5 kb/s.
La cuestión es que el servidor no tiene uso de momento, estoy configurando he instalando algunas cosas pero no tiene trafico como para que salte esa media.
Creéis que es normal?
Como puedo monitorizarlo para saber de donde procede ese trafico de entrada?
Ultimo mes:
https://www.dropbox.com/s/i4l11vv5hkm5nwh/shoot.png
Gracias compañeros.