monitoring odchoziho UDP trafficu

[Pavel Kankovsky]

On Sat, 9 Oct 2010, Ondrej Svoboda wrote:

> Na webhostingovem serveru, kde bezi primarne apache se zacalo nekolikrat 
> denne objevovat obrovsky odchozi traffic na nahodne IP adresy. Vzdy se 
> jedna o UDP (co jsem zkoumal tcpdump, tak je to nejaka p2p sit) [...]
> Zvlastni je, ze v dobe 'utoku' nejsou videt zadna spojeni ve vypisu 
> netstat, nedari se mi tedy urcit ani ownera, ani pid procesu.

Když je to UDP tak žádné "spojení" asi neuvidíte. Ale mělo by tam být
vidět socket odpovídající použitému lokálnímu portu (či portům). Pokud ne,
tak je něco hodně ale hodně špatně.

> - naloadoval jsem .so modul a pomoci ld.so.preload ho pouzil - modul
> logoval volani funkci sendto a sendmsg (logovalo to pouze SNMP packety
> z nasi site)

Ani žádné DNS? Tak to asi nefungoval úplně dobře. Restartoval jste po
té změně všechny procesy?

> - progrepoval jsem vsechny php soubory na funkci fsockopen, ale take nic 
> (uzivatele maji zapnuty safe_mode, nemuzou tedy spoustet zadne binarky)

Safe mode? To je ta věc, kterou vývojáři PHP nedávno oficiálně prohlásili
za mrtvou, protože pochopili, že nikdy nebude fungovat pořádně? ;)

> Myslim ze klicem ke zjisteni by by ktere pid/uid proces ten udp traffic 
> vyvolava, pak by se podle otevrenych souboru uz asi nechalo jednoduse 
> najit co to spousti.

UID by asi šlo zjistit přes iptables modul LOG s parametrem --log-uid.

Nevím, jestli z toho lze dostat PID, ale pokud to nějakou dobu trvá a je
to dost intenzívní, tak by mohla fungovat klasická metoda: postupně
procesy na chvilku zastavujte (pokročilí uživatelé této metody můžou
použít půlení intervalu) a uvidíte, kdy to přestane.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /