monitoring odchoziho UDP trafficu
Ondrej Svoboda
svoboda na svoon.net
Sobota Říjen 9 16:50:41 CEST 2010
Zdravim,
mam takovy mensi problem s kterym si lamu hlavu uz nekolik tydnu, ale
marne. Oc jde:
Na webhostingovem serveru, kde bezi primarne apache se zacalo nekolikrat
denne objevovat obrovsky odchozi traffic na nahodne IP adresy. Vzdy se
jedna o UDP (co jsem zkoumal tcpdump, tak je to nejaka p2p sit)
Problem se projevuje jednak obrovskym odchozim trafficem a druhak
zaplnenim ip_conntract tabulky. /proc/net/ip_conntrack
Mam podezreni, ze nektery z uzivatelu ma ve svem webovem prostoru vir,
ktery se cas od casu spusti.
Nemuzu ale zjistit co ten traffic zpusobuje, nebo kdo ho vyvovala nebo
zacina.
Zvlastni je, ze v dobe 'utoku' nejsou videt zadna spojeni ve vypisu
netstat, nedari se mi tedy urcit ani ownera, ani pid procesu.
co uz jsem vsechno vyzkousel:
- spoustel jsem stale dokola ps -auxfw jestli bych nevidel v dobe utoku
nejake divne procesy (nevidel)
- naloadoval jsem .so modul a pomoci ld.so.preload ho pouzil - modul
logoval volani funkci sendto a sendmsg (logovalo to pouze SNMP packety z
nasi site)
- v tcpdump vidim miliony zaznamu vzdy na dane IP, ale z tohoto vystupu
neumim poznat ani vlastnika, ani proces
- zkousel jsem dokola volat lsof, ani odtud se mi nepodarilo proces najit
- prosel jsem komplet access log apache, nenasel jsem zadne URL, ktere
by se mi zdalo nebezpecne
- progrepoval jsem vsechny php soubory na funkci fsockopen, ale take nic
(uzivatele maji zapnuty safe_mode, nemuzou tedy spoustet zadne binarky)
Myslim ze klicem ke zjisteni by by ktere pid/uid proces ten udp traffic
vyvolava, pak by se podle otevrenych souboru uz asi nechalo jednoduse
najit co to spousti.
moc diky za jakoukoliv pomoc
Ondrej
Další informace o konferenci Linux