monitoring odchoziho UDP trafficu

[Ondrej Svoboda]

Zdravim,
mam takovy mensi problem s kterym si lamu hlavu uz nekolik tydnu, ale 
marne. Oc jde:

Na webhostingovem serveru, kde bezi primarne apache se zacalo nekolikrat 
denne objevovat obrovsky odchozi traffic na nahodne IP adresy. Vzdy se 
jedna o UDP (co jsem zkoumal tcpdump, tak je to nejaka p2p sit)

Problem se projevuje jednak obrovskym odchozim trafficem a druhak 
zaplnenim ip_conntract tabulky. /proc/net/ip_conntrack
Mam podezreni, ze nektery z uzivatelu ma ve svem webovem prostoru vir, 
ktery se cas od casu spusti.
Nemuzu ale zjistit co ten traffic zpusobuje, nebo kdo ho vyvovala nebo 
zacina.
Zvlastni je, ze v dobe 'utoku' nejsou videt zadna spojeni ve vypisu 
netstat, nedari se mi tedy urcit ani ownera, ani pid procesu.

co uz jsem vsechno vyzkousel:
- spoustel jsem stale dokola ps -auxfw jestli bych nevidel v dobe utoku 
nejake divne procesy (nevidel)
- naloadoval jsem .so modul a pomoci ld.so.preload ho pouzil - modul 
logoval volani funkci sendto a sendmsg (logovalo to pouze SNMP packety z 
nasi site)
- v tcpdump vidim miliony zaznamu vzdy na dane IP, ale z tohoto vystupu 
neumim poznat ani vlastnika, ani proces
- zkousel jsem dokola volat lsof, ani odtud se mi nepodarilo proces najit
- prosel jsem komplet access log apache, nenasel jsem zadne URL, ktere 
by se mi zdalo nebezpecne
- progrepoval jsem vsechny php soubory na funkci fsockopen, ale take nic 
(uzivatele maji zapnuty safe_mode, nemuzou tedy spoustet zadne binarky)

Myslim ze klicem ke zjisteni by by ktere pid/uid proces ten udp traffic 
vyvolava, pak by se podle otevrenych souboru uz asi nechalo jednoduse 
najit co to spousti.

moc diky za jakoukoliv pomoc

Ondrej