We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

¿ como limitar el trafico up/down en release2 ?


MarcosBL
19/04/2009, 10:45
Los procesos si parecen normales, lo que tu dices, deja pasar unos dias, la verdad es que de rps no tengo experiencia,, de todas formas si esa grafica es de transferencia, no tendria nada que ver con cuelgues o malos accesos al disco de red, la transferencia, transferencia es

juanillo
19/04/2009, 10:41
Hola xico,
sí, ya he estado leyendo acerca de esas extrañas entradas. Aqui el CSF no hace nada porque los accesos los hacen cada 6-10 minutos. He bloqueado manualmente algunas IP´s de esas.

Dejaré respirar tranquilo el servidor unos días. Por ahora parece que va todo bien. Al tratarse de un RPS puedo pensar que fuese algun problema ajeno, acceso al disco o yo que sé.

No he encontrado nada raro en el momento del pico ese, asi que lo dejaré estar una semana antes de sacar el hacha .. jeje ..

Gracias,

xico1984
18/04/2009, 22:04
Cita Publicado inicialmente por juanillo
Hola Marcos, gracias por tu respuesta, ... aunque ya me has dejado mas asustado aun jeje ..

Mira,

http://img515.imageshack.us/img515/4466/pstree.jpg

y en los logs , asi a lo rapido, he visto muchas conexiones de estas,

[17/Apr/2009:04:36:09 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:43:27 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:50:53 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:57:48 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:05:04:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:05:17:05 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334

Asi que el csf+lfd tampoco me va bien, no ha bloqueado nada y los logs estan entullados.

Me parece a mi que entre hoy y mañana que tengo tiempo libre voy a pegar una instalacion desde cero al servidor .... son 5 webs solamente que en un par de horas estaran listas de nuevo ... ya veremos que opinais porque saco el hacha .. jejeje ...
Mejor cortar de raiz ahora que puedo, a dejarlo así, que la semana que viene estare fuera y quien sabe lo que le pasará ...

Gracias,

Respecto a esa entrada tan rara, google nos da cientos de páginas web con foreros preguntando lo mismo... Como nadie se pone de acuerdo xD Dejo una de las posibles razones:

http://www.securitybydefault.com/200...scsansdfi.html

juanillo
18/04/2009, 16:16
Hola Marcos, gracias por tu respuesta, ... aunque ya me has dejado mas asustado aun jeje ..

Mira,

http://img515.imageshack.us/img515/4466/pstree.jpg

y en los logs , asi a lo rapido, he visto muchas conexiones de estas,

[17/Apr/2009:04:36:09 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:43:27 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:50:53 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:04:57:48 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:05:04:14 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334
[17/Apr/2009:05:17:05 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 334

Asi que el csf+lfd tampoco me va bien, no ha bloqueado nada y los logs estan entullados.

Me parece a mi que entre hoy y mañana que tengo tiempo libre voy a pegar una instalacion desde cero al servidor .... son 5 webs solamente que en un par de horas estaran listas de nuevo ... ya veremos que opinais porque saco el hacha .. jejeje ...
Mejor cortar de raiz ahora que puedo, a dejarlo así, que la semana que viene estare fuera y quien sabe lo que le pasará ...

Gracias,

MarcosBL
18/04/2009, 13:55
Mira los logs de acceso de Apache, FTP, correo, etc... en general cualquier cosa que "escupa" datos, puedes que hayas sido victima de una descarga masiva o un DDOS. Mira tambien el arbol de procesos con pstree o "ps faux" y péganos el resultado a ver si vemos algo raro, no hace mucho uno de mis servidores fue comprometido y el sintoma era exactamente el mismo, me habian metido una botneck de IRC camuflada con el nombre de "httpd" y estaban usando el servidor para hacer ataques de flood.

juanillo
18/04/2009, 11:38
Hola,

La pregunta es esa, como limito el trafico up/down en un RPS1 que tengo con la release2 y el csf.

Hoy me he llevado un susto al ver esto en el manager,
http://img4.imageshack.us/img4/2234/capturajjv.jpg


Tengo varios servidores en OVH y no quiero que mi trafico global se vea comprometido por situaciones como esta.

A mi juicio este pico no tiene razon de ser. Las pocas webs alojadas en el rps son de poco consumo y poco trafico. Es más, no entiendo por qué ha pegado ese pico.