monitoring odchoziho UDP trafficu
Ondřej Němeček
ondrej.nemecek.news na gmail.com
Sobota Říjen 9 19:32:16 CEST 2010
Zdravim tez,
nemuze ten webserver fungovat (treba nechtene) jako router? Pak by tam
zadny proces nebyl.
O.
Dne 9.10.2010 16:50, Ondrej Svoboda napsal(a):
> Zdravim,
> mam takovy mensi problem s kterym si lamu hlavu uz nekolik tydnu, ale
> marne. Oc jde:
>
> Na webhostingovem serveru, kde bezi primarne apache se zacalo nekolikrat
> denne objevovat obrovsky odchozi traffic na nahodne IP adresy. Vzdy se
> jedna o UDP (co jsem zkoumal tcpdump, tak je to nejaka p2p sit)
>
> Problem se projevuje jednak obrovskym odchozim trafficem a druhak
> zaplnenim ip_conntract tabulky. /proc/net/ip_conntrack
> Mam podezreni, ze nektery z uzivatelu ma ve svem webovem prostoru vir,
> ktery se cas od casu spusti.
> Nemuzu ale zjistit co ten traffic zpusobuje, nebo kdo ho vyvovala nebo
> zacina.
> Zvlastni je, ze v dobe 'utoku' nejsou videt zadna spojeni ve vypisu
> netstat, nedari se mi tedy urcit ani ownera, ani pid procesu.
>
> co uz jsem vsechno vyzkousel:
> - spoustel jsem stale dokola ps -auxfw jestli bych nevidel v dobe utoku
> nejake divne procesy (nevidel)
> - naloadoval jsem .so modul a pomoci ld.so.preload ho pouzil - modul
> logoval volani funkci sendto a sendmsg (logovalo to pouze SNMP packety z
> nasi site)
> - v tcpdump vidim miliony zaznamu vzdy na dane IP, ale z tohoto vystupu
> neumim poznat ani vlastnika, ani proces
> - zkousel jsem dokola volat lsof, ani odtud se mi nepodarilo proces najit
> - prosel jsem komplet access log apache, nenasel jsem zadne URL, ktere
> by se mi zdalo nebezpecne
> - progrepoval jsem vsechny php soubory na funkci fsockopen, ale take nic
> (uzivatele maji zapnuty safe_mode, nemuzou tedy spoustet zadne binarky)
>
> Myslim ze klicem ke zjisteni by by ktere pid/uid proces ten udp traffic
> vyvolava, pak by se podle otevrenych souboru uz asi nechalo jednoduse
> najit co to spousti.
>
> moc diky za jakoukoliv pomoc
>
> Ondrej
Další informace o konferenci Linux