Tomsk Sysadmins Forum

Unix => Разное => Topic started by: Vtec on July 07, 2007, 18:29:49

Title: Непонятный трафик.
Post by: Vtec on July 07, 2007, 18:29:49: Люди как мне отследить, каким макаром мне накапывает входящий трафик каждый день около 50 мегов?
Я уже запарился, это выливается не в малые деньги. Раньше такого не было, был трафик, но около 5-7 мегабайт.
Сервак стоит во внехе как http.
Title: Непонятный трафик.
Post by: never hood on July 07, 2007, 19:26:20: Любая попытка поломать твой сайт оборачивается соответствующим трафиком, за который ты же и заплатишь. Анализируй логи (access_log апача, secure для ssh, telnet, rlogin и т.п.).
Убедись, что все лишние сервисы (демоны) выключены, а файервол правильно настроен.
Если на этой же машине стоит почтовик, проверь не является ли он открытым релеем, если здесь же стоит прокси, не обслуживает ли он внешних "клиентов" помимо внутренних. И т.д. и т.п.
Уточни у провайдера метод тарификации. Некоторые считают все, что поступает на их(!) внешний порт в адрес твоего(!) хоста, а значит независимо от его <твоего хоста> работоспособности любые пакеты на твой адрес будут отзываться тебе звонкой монетой.
Title: Непонятный трафик.
Post by: Vtec on July 08, 2007, 13:01:44: telnet, rlogin у меня нет. ssh есть. Лог показал, что пытались с разных апи под рутом зайти. Как мне ограничеть доступ? Например в sco можно прописать что под рутом можно входить только с первой консоли.

Сервисы вроде более менее отстроены. С фаерволом разбераюсь (в другой ветке ).

Почтовик стоит. Если я попытался на 25 порт подключится значит релей не работает?

Если мне память не изменяет вроде какой то паразитный трафик не берется, хотя могу ошибаться.
Title: Непонятный трафик.
Post by: Vtec on July 08, 2007, 13:28:02: Вот что еще надыбал, что за демон висит на 10000 порту - Имя сервера : MiniServ/0.01
Что это такое и нафиг оно нужно?
Title: Непонятный трафик.
Post by: never hood on July 08, 2007, 14:47:34: SSH, если на внешнем интерфейсе тебе не нужен, убери в конфиге с этого интерфейса или прикрой файерволом. Если нужен, поставь надежный пароль, поставь ограничение на количество неудачных входов в конфиге и особо не парься. Долбится будут всегда, если пароль нормальный и есть ограничение, то не пролезут.
Про почтовик. Если подключился с внешнего интерфейса и смог отправить письмо внешнему адресату, то это и есть открытый релей, т.е. твоим почтовиком могут пользоваться спамеры для рассылки через твой почтовик. Правь конфиги, читай документацию.
если не знаешь, что у тебя висит на каком-то порту закрывай от внешнего доступа - если этот сервис нужен тебе, ты до него "достучишься", если он - потенциальная дыра - будет недоступен "злодеям".
А лучше выключи и посмотри, что произойдет. На 10000 порту ничего ценного не должно быть.
Title: Непонятный трафик.
Post by: SlyF0X on July 08, 2007, 22:28:28: Quote from: Vtec
Вот что еще надыбал, что за демон висит на 10000 порту - Имя сервера : MiniServ/0.01
Что это такое и нафиг оно нужно?
на 10000 порту висит по дефолту WebMin - это веб интерфейс для управления сервером , иногдо бывает очень удобно им пользоватся , но если не пользуешь то забивай его.
Title: Непонятный трафик.
Post by: Vtec on July 10, 2007, 16:29:40: как демон правильно называется? ненужен он мне...
Title: Непонятный трафик.
Post by: never hood on July 11, 2007, 00:21:45: Quote from: Vtec
как демон правильно называется? ненужен он мне...
Code: [Select]
#netstat --inet -nlpдаст тебе полную картину твоих демонов на всех интерфейсах