OVH Community, your new community space.

Tráfico extraño


Ros
09/03/2015, 10:47
Es simple, mide la transferencia que haces en un día en todas las cuentas y compáralo con el total del servidor.

Si la diferencia es importante, quiere decir que tienes algo raro por allí, algún proxy, que ahora se llevan mucho, o algo así. De entrada te digo que esos picos no son nada normales, tienes algún proceso que haga algo raro ? Prueba el trial de http://newrelic.com/ seguro que ves alguna cosa rara.

Saludos !

mrpacogp
08/03/2015, 12:06
Pero un log de acceso a cada web?
Es decir, en cada sitio alojado en el servidor por supuesto que hay logs, pero no veo adecuado revisar los de paginas privadas sin autorización de los propietarios.
Lo que si reviso es el bandwitch usado por cada cliente y no veo datos raros.

alvaroag
07/03/2015, 17:14
Podría ser, no tienes un log de acceso para verificar? Si es muy largo, puedes escribir un script en cualquier lenguaje que lo procese para ver cuantas solicitudes hay por cada IP.

También, si encuentras ciertas IPs maliciosas, puedes bloquearlas directamente en el Firewall, pero sólo por IP o rango de IP.

mrpacogp
07/03/2015, 12:21
Podría estar relacionado con el spam que se está empleando últimamente?
http://www.cradlecloud.com/ban-block...pam-referrals/

Lo que voy a ver es como bloquear estos sitios directamente por whm sin tener que recurrir al htacces de cada sitio

txavi
25/02/2015, 12:21
Te comento una anécdota que me pasó el mes pasado, por si te puede ayudar.

Sacamos una nueva web muy sencilla, sólo HTML5, ni wordpress, ni PHP ni nada.... y con una repercusión baja (no más de 200 visitas al día). Pero de repente veo que pasa la máquina de un tráfico bajo (<1MB/s) a 200MB/s de tráfico desde el servidor al exterior... de forma continua.

Como soy un obseso de la monitorización, lo primero que me pasó por la cabeza fue que me había infectado (tengo un par worpdress instalados), y tenía miedo que además coincidiendo en fin de semana OVH me bloqueara el dedicado por ataque DDOS o cualquier cosa (y sin poder llamar a soporte).

¿Como actué?

Primero me instalé un analizador de red como IPTRAF, que puedo analizar con detalle el tráfico via consola. Allí descubrí que todo el tráfico era enviado a una única IP... más miedo por si fuera un DDOS. Investigo más sobre la IP de destino: es el proxy-caché de la JUNTA ANDALUCÍA... hacia el puerto 80.

Reviso en tiempo real todos los logs de acceso del apache en busca de la IP. Localizo que todo el rato el proxy se está bajando un video de 4Mb continuamente....

La landing page que habíamos montado contenía un video de fondo con el código HTML5:



No se por que motivo, o que tipo de software PROXY utilizan, pero deduzco que como era en modo "loop" no detectaba que la página estaba cargada del todo, y continuamente se volvía a descargar el vídeo que al ser de 4Mb de tamaño y con unos 10 hilos creado, se comía el ancho de banda que tenía disponible.

Finalmente tomé la decisión de eliminar el vídeo y poner una imagen estática, ya que no podía banear la IP del proxy.

Saludos!

mrpacogp
22/02/2015, 12:55
Cita Publicado inicialmente por explorer
No, upload es que entrega el servidor, y download, lo que recibe.

Si son 100 dominios, parece que hay una saturación en el horario normal (de 9.00 a 21.00). Podría ser la llegada de correo con grandes adjuntos. O sencillamente, mucho correo.

Deberás hacer análisis para ver de forma más detallada en qué consiste ese tráfico.
Gracias, francamente eres muy amable en responder, te estoy agradecido sinceramente.
Tengo todos los dominios limitados de una forma bastante exhaustiva.

Desde el año pasado que ovh me cerro el servidor porque un dominio se infecto con un php.99 exploid, he aumentado mucho la seguridad.
Utilizo el Config Server eXploit Scanner y el Security&Firewall.

Tengo todos los dominios y cuentas con limitaciones en el número de mails permitidos por hora, de forma que aunque sean infectados no puedan de nuevo provocar que me cierren el servidor por spam de algún dominio.

Cuando entro en whm reviso mail configuration y encuentro datos poco significativos:
En mensajes recibidos por hora, los picos mas altos por hora son a medio día no mas de 20, pone que cada punto es un mensaje, entiendo que no mas de 20 por hora.
Datos similares con correos enviados por hora.

Debo deducir que se podría tratar de falsos estadísticas si algún worpdress está infectado?

Con CS eXploit recibo muchos falsos positivos, sobre todo de los intentos de inyección a los wp-cofig con image upload, la técnica que vulnera ciertos plugins como RevSlider y otros tantos, pero los mismos report me aconsejan ignorar los mensajes poruqe la ruta no existe.

Tengo limitados los anchos de banda también, lo que me gustaría saber que no encontré aún es como revisar cada dominio el tráfico que está realizando.
Voy a buscar a ver...
La verdad es que no veo un trafico excesivo, las webs que mas han gastado un par de paginas con muchas imágenes, 18gb, 20gb mensuales de uso de ancho de banda...

explorer
21/02/2015, 18:31
No, upload es que entrega el servidor, y download, lo que recibe.

Si son 100 dominios, parece que hay una saturación en el horario normal (de 9.00 a 21.00). Podría ser la llegada de correo con grandes adjuntos. O sencillamente, mucho correo.

Deberás hacer análisis para ver de forma más detallada en qué consiste ese tráfico.

mrpacogp
21/02/2015, 18:06
Hola, muy buenas tardes.
Desde hace tiempo uso varios cortafuegos y servicios para proteger el servido dedicado que tengo de tantas vulnerabilidades en cada cliente con wordpress.

El caso, es que desde hace tiempo, noto un extraño tráfico que me parece excesivo en cuanto a megas:

http://i398.photobucket.com/albums/p...psrb3cicbv.png

Donde dice UPLOAD, es lo que mis clientes cargan al servidor?
Donde dice Download, es lo que mi servidor manda hacia otros destinos?

Si es así, parece que tenga el servidor infectado con algo programado enviando spam, pero me parece demasiado tráfico, podría ser el tráfico normal?
Creo que no llegan a 100 dominios alojados en este servidor, y muy pocos pasan de las 100 visitas diarias, pero si que se que tengo varios clientes con dominios con muchas imágenes y pesadas.

Bueno muchas gracias y a ver si puedo investigar por algún sitio que me recomendéis.
He analizado usos de cpu y demas.