Vreemd inkomend dataverkeer op server - Internet en hosting

vrijdag 17 juni 2005 23:48

Acties:

Dit is geen ondertitel

Topicstarter

Eerst een verhaaltje vooraf

Vorige week hebben wij een gameserver in een colo in red-bus geplaatst. De server draait op Debian Testing en hij is nu ingericht als Enemy Territory server. Tevens draait er apache op met mysql en php.

Nu draait hij een week of twee en zijn wij erachter gekomen dat hij veel te veel data verplaatst. Veel van deze data is vreemd verkeer vanaf een voor ons onbekend ip. Zelfs als het server programma uit is gezet en er verder geen server software meer draait (ssh uitgezonderd).

Deze data is gericht aan allemaal verschillende ip's, iig niet aan "ons" ip. Wat opvalt is dat het MAC adres ff:ff:ff:ff:ff:ff is. Na wat zoeken op internet erachter gekomen dat dat een broadcast mac adres is.

Al deze vreemde data word door de kernel gedropt. Hieronder een screenshot van een paar willekeurige pakketjes van een sniffer die even heeft gedraait tijdens zo'n vreemde piek:

Afbeeldingslocatie: http://82.192.87.128/tmp/traffic.gif

Afbeeldingslocatie: http://82.192.87.128/tmp/traffic.gif

Excuses voor de grootte, ik kon zo snel geen andere manier vinden.

Wat ik tot nu toe heb gedaan:
-Gemaild met mijn coloboer, die zegt het ip niet te kennen en gaf me de tip om het ip te blokkeren.
-Dit had ik inmiddels gedaan maar dat maakt niet uit voor het inkomende verkeer.
-Gezocht naar een mailadres van het betreffende ip, heb uitgevonden dat er een website achter zit maar nog geen mailadres.
-Mijn spaarpot omgekeerd om de coloboer te gaan betalen voor het dataverkeer.

Op de volgende link zie je het dataverkeer van onze server, de gameserver is alleen 's avonds van 19:00 tot 24:00 actief

http://82.192.87.128/apps...localhost&type=poll&id=13

Edit:

Ben erachter gekomen dat als ik de website behorende bij het ip bezoek, dat dan het inkomende dataverkeer op onze server omhoog schiet. Er draait namelijk een webcam op die site en die lijkt van invloed te zijn op ons ip

[ Voor 16% gewijzigd door WouterG op 17-06-2005 23:51 ]

zaterdag 18 juni 2005 00:04

Acties:

EricJH

Het klinkt mij in de oren dat je wellicht gehackt bent en dat je server gebruikt wordt om die webcam te laten uitzenden?

Het zal wellicht even duren voordat je het binnenkomende verkeer kwijt bent na het blokkeren van het IP daar het nog niet tot het netwerk is doorgedrongen dat jouw IP niet meer bruikbaar is.

Kun je de server scannen met een virusscanner o.i.d.? Wat is je vraag trouwens?

zaterdag 18 juni 2005 00:07

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

EricJH schreef op zaterdag 18 juni 2005 @ 00:04:
Het klinkt mij in de oren dat je wellicht gehackt bent en dat je server gebruikt wordt om die webcam te laten uitzenden?

Het zal wellicht even duren voordat je het binnenkomende verkeer kwijt bent na het blokkeren van het IP daar het nog niet tot het netwerk is doorgedrongen dat jouw IP niet meer bruikbaar is.

Kun je de server scannen met een virusscanner o.i.d.? Wat is je vraag trouwens?

Bedankt voor je antwoord.

Mijn vraag is of jullie mij duidelijkheid kunnen verschaffen over de oorzaak van dit probleem.

Onze server is niet gehacked, er draait continu een virusscanner en het programma chrootkit om wijzigingen te detecteren.

Verder word deze data niet uitgestuurd, alleen ontvangen. En de data word daarna onmiddelijk weggegooid door de firewall.

zaterdag 18 juni 2005 00:26

Acties:

Verwijderd

Verder word deze data niet uitgestuurd, alleen ontvangen. En de data word daarna onmiddelijk weggegooid door de firewall.

Je hebt een server draaien waar je betaald voor het binnenkomende dataverkeer?
Ik bedoel....... natuurlijk betaal je daarvoor, maar je hoeft toch niet meer te betalen als je meer download? Nou goed.

Ik snap je probleem niet..... blok die ip in je firewall. Haal je server down 15 minuten. Dan weer up gooien (met de nieuwe firewall regels waar de ip in is geblokt)

Zou je van het probleem over moeten zijn.....

62.* is het ip van de bandiet zegmaar?

Zo te zien is dat een webcam met ingebouwde webserver waarop je de cam kan aansturen. Stel je proxy maar eens in op die ip, poort 8080. Ga dan naar google ofzo, je komt dan op de webserver op die cam. Hier kan je verder niks mee, maar dit alles even ter informatie.

[ Voor 23% gewijzigd door Verwijderd op 18-06-2005 00:28 ]

zaterdag 18 juni 2005 00:33

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Verwijderd schreef op zaterdag 18 juni 2005 @ 00:26:
[...]
Je hebt een server draaien waar je betaald voor het binnenkomende dataverkeer?
Ik bedoel....... natuurlijk betaal je daarvoor, maar je hoeft toch niet meer te betalen als je meer download? Nou goed.

Een gecolocate server word inderdaad afgerekent op verplaatste data ja.

Ik snap je probleem niet..... blok die ip in je firewall. Haal je server down 15 minuten. Dan weer up gooien (met de nieuwe firewall regels waar de ip in is geblokt)

Ip is geblokt in de firewall en is actief nu

Zou je van het probleem over moeten zijn.....

Probleem bestaat nog steeds

62.* is het ip van de bandiet zegmaar?

Bandiet wil ik niet zeggen maar de data komt daar inderdaad vandaan.

Zo te zien is dat een webcam met ingebouwde webserver waarop je de cam kan aansturen. Stel je proxy maar eens in op die ip, poort 8080. Ga dan naar google ofzo, je komt dan op de webserver op die cam. Hier kan je verder niks mee, maar dit alles even ter informatie.

Klopt ja, heb ik gezien. Maar hoe komt die data bij mij terecht, erg vreemd

zaterdag 18 juni 2005 00:37

Acties:

Verwijderd

Klopt ja, heb ik gezien. Maar hoe komt die data bij mij terecht, erg vreemd

Draait de server standalone? Hangt hij direct aan het internet, of via een router? Of issie zelf een router? Draai je NAT? (dan kunnen pc's die dus op internet zitten via je server, de webcams streams aan het kijken zijn?)

Kijk anders met snifft (apt-get install sniffit)

dan sniffit -F eth0 -i (eth0 = inet_iface)
Zie je gelijk de actieve verbindingen die er zijn....... en naar welke pc.
Hoe zeker ben je dat je de firewall goed ingesteld hebt? (dat die ip dus is geblokt)

[ Voor 3% gewijzigd door Verwijderd op 18-06-2005 00:39 ]

zaterdag 18 juni 2005 00:47

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Verwijderd schreef op zaterdag 18 juni 2005 @ 00:37:
[...]

Draait de server standalone? Hangt hij direct aan het internet, of via een router? Of issie zelf een router? Draai je NAT? (dan kunnen pc's die dus op internet zitten via je server, de webcams streams aan het kijken zijn?)

Server draait inderdaad standalone, hangt rechtstreeks aan internet en er hangt niets achter.

Kijk anders met snifft (apt-get install sniffit)

dan sniffit -F eth0 -i (eth0 = inet_iface)
Zie je gelijk de actieve verbindingen die er zijn....... en naar welke pc.

Handig programma! Ik zie dat er diverse connecties zijn tussen het beruchte ip adres van die server en allemaal andere ip adressen. Tevens zie ik nog de connectie tussen de server en mij thuis via de ssh verbinding.

Hoe zeker ben je dat je de firewall goed ingesteld hebt? (dat die ip dus is geblokt)

Ik heb aan iptables de regel "DROP all -- 62.x.x.x anywhere" toegevoegd. Maar dit heeft ook geen effect omdat de data helemaal niet voor onze server bestemd is en daarom zoiezo al niet gebruikt word.

[ Voor 9% gewijzigd door WouterG op 18-06-2005 01:01 ]

zaterdag 18 juni 2005 09:21

Acties:

msteggink

62.*

inetnum: 62.212.91.0 - 62.212.91.255
netname: LEASEWEB
descr: LeaseWeb
descr: P.O. Box 616
descr: 3500AP, Utrecht
descr: Netherlands
descr: www.leaseweb.nl
remarks: Please send email to "abuse@leaseweb.nl" for complaints
remarks: regarding portscans, DoS attacks and spam.

Misschien even een email sturen naar abuse dat je last hebt van dit IP.

zaterdag 18 juni 2005 16:16

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

msteggink schreef op zaterdag 18 juni 2005 @ 09:21:
62.*

inetnum: 62.212.91.0 - 62.212.91.255
netname: LEASEWEB
descr: LeaseWeb
descr: P.O. Box 616
descr: 3500AP, Utrecht
descr: Netherlands
descr: www.leaseweb.nl
remarks: Please send email to "abuse@leaseweb.nl" for complaints
remarks: regarding portscans, DoS attacks and spam.

Misschien even een email sturen naar abuse dat je last hebt van dit IP.

Bedankt voor je berichtje! Ik heb direct een mailtje verstuurd.

Maar hoe komt het nu dat verkeer dat niet aan mij gericht is (ander dest. ip) toch bij mij terecht komt?

zondag 19 juni 2005 10:14

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Het word nu echt te gek, wij krijgen op dit moment 6mbit aan data binnen terwijl al onze serversoftware uitstaat! Alleen ssh draait.

Is er echt niemand die hier de oorzaak van weet? Ik krijg geen reactie's van hun provider en van hunzelf. En onze eigen colo zegt er niets tegen te kunnen doen.

Broadcast verkeer hoort toch helemaal niet bij onze server terecht te komen??

Hieronder een pakketje:

No. Time Source Destination Protocol Info
32 0.045634 62.212.91.150 84.35.0.35 HTTP HTTP/1.1 200 OK (x-mjpeg)

Frame 32 (284 bytes on wire, 284 bytes captured)
Arrival Time: Jun 19, 2005 10:00:15.113459000
Time delta from previous packet: 0.000024000 seconds
Time since reference or first frame: 0.045634000 seconds
Frame Number: 32
Packet Length: 284 bytes
Capture Length: 284 bytes
Protocols in frame: eth:ip:tcp:http:media
Ethernet II, Src: 00:11:43:e5:95:86, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 00:11:43:e5:95:86 (DellWwPc_e5:95:86)
Type: IP (0x0800)
Internet Protocol, Src Addr: 62.212.91.150 (62.212.91.150), Dst Addr: 84.35.0.35 (84.35.0.35)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 270
Identification: 0xf392 (62354)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: TCP (0x06)
Header checksum: 0x17a7 (correct)
Source: 62.212.91.150 (62.212.91.150)
Destination: 84.35.0.35 (84.35.0.35)
Transmission Control Protocol, Src Port: 8080 (8080), Dst Port: 60632 (60632), Seq: 0, Ack: 0, Len: 230
Source port: 8080 (8080)
Destination port: 60632 (60632)
Sequence number: 0 (relative sequence number)
Next sequence number: 230 (relative sequence number)
Acknowledgement number: 0 (relative ack number)
Header length: 20 bytes
Flags: 0x0018 (PSH, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 17450
Checksum: 0xb5fc (correct)
Hypertext Transfer Protocol
HTTP/1.1 200 OK\r\n
Request Version: HTTP/1.1
Response Code: 200
Date: Sun, 19 Jun 2005 08:00:24 GMT\r\n
Server: Jetty/4.2.x (Windows XP/5.2 x86 java/1.4.1_07)\r\n
Content-Type: x-mjpeg\r\n
Pragma: no-cache\r\n
Cache-Control: no-cache,no-store\r\n
Content-Length: 51893\r\n
\r\n
Media Type: x-mjpeg (20 bytes)

zondag 19 juni 2005 10:51

Acties:

Verwijderd

Tomcat schreef op zondag 19 juni 2005 @ 10:14:
Het word nu echt te gek, wij krijgen op dit moment 6mbit aan data binnen terwijl al onze serversoftware uitstaat! Alleen ssh draait.

Is er echt niemand die hier de oorzaak van weet? Ik krijg geen reactie's van hun provider en van hunzelf. En onze eigen colo zegt er niets tegen te kunnen doen.

Broadcast verkeer hoort toch helemaal niet bij onze server terecht te komen??

Hieronder een pakketje:

[...]

Uit die info lees ik dus uit dat het om een Windows Server 2003 machine gaat (Windows NT 5.2) en deze een MPEG stream stuurt via HTTP. Dit lijkt mij vrij duidelijk dat het om een Webcam gaat. Zal het niet zo zijn dat die andere machine die jou 'attackt' gehackt is ofzo, en dat ie jouw IP probeert te spoofen ofzo?

zondag 19 juni 2005 10:54

Acties:

neh

Destination: ff:ff:ff:ff:ff:ff (Broadcast)

Dit lijkt mij aan te geven dat het verkeer op het lokale netwerk waar jouw server ook op zit gebroadcast wordt en daarom dus bij jou terecht komt. Ik zou dus nog maar een keer heel streng jouw eigen provider toespreken, zodat die de oorzaak op kan sporen.

XT, 640K ram, 20 MB harddisk, MS-DOS 4.0...

zondag 19 juni 2005 11:36

Acties:

__fred__

http://www.pro-tour.nl/

Daar staat een mail icoontje. Die lui zijn vast wel te bereiken.

zondag 19 juni 2005 11:45

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

__fred__ schreef op zondag 19 juni 2005 @ 11:36:
http://www.pro-tour.nl/

Daar staat een mail icoontje. Die lui zijn vast wel te bereiken.

Ik heb gisteren al een mailtje verstuurd. Helaas reageren ze niet. Ik hoop dat er morgen actie ondernomen word, anders kunnen we de server voor de rest van de periode uitzetten.

zondag 19 juni 2005 11:45

Acties:

Adze

CCNP !

Wat mij nog even onduidelijk is, is het ip adres van jou server...

Tomcat schreef op zondag 19 juni 2005 @ 10:14:
Broadcast verkeer hoort toch helemaal niet bij onze server terecht te komen??

Juist wel !

Omdat de ip pakketten gecapsuleerd zijn door ethernet frames met destination mac ff:ff:ff:ff:ff:ff (broadcast mac) wordt door het pakket door ieder netwerkkaart op het ethernetsegment opgepakt en naar de kernel space gestuurd. In de kernel space wordt het daarna genegeerd. Waarschijnlijk hebben andere servers op dat segment hetzelfde probleem.

Naar mijn mening zeer slecht geprogrammeerde software !

[ Voor 53% gewijzigd door Adze op 19-06-2005 11:54 ]

zondag 19 juni 2005 11:53

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Adze15021979 schreef op zondag 19 juni 2005 @ 11:45:
Wat mij nog even onduidelijk is, is het ip adres van jou server...

[...]

Juist wel !

Omdat de ip pakketten gecapsuleerd zijn door ethernet frames met destination mac ff:ff:ff:ff:ff:ff (broadcast mac) wordt door het pakket door ieder netwerkkaart op het ethernetsegment opgepakt en naar de kernel space gestuurd. Waarschijnlijk hebben andere servers op dat segment hetzelfde probleem.

Ja, ik weet wel dat broadcast uit ons segment ook bij ons terecht komt. Maar dit ip adres ligt toch niet in ons segment? En hoe komt een mpeg stream broadcast

Ons ip adres is 82.192.87.128

Onze coloboer zegt dat het probleem niet terug te vinden is bij andere klanten, iets wat ik zelf ook zeer vreemd vind.

Het blijft frustrerend dat er niet gereageerd word door leaseweb, of kan ik beter bij onze eigen colocatie blijven "zeuren".

[ Voor 11% gewijzigd door WouterG op 19-06-2005 11:55 ]

zondag 19 juni 2005 11:58

Acties:

Verwijderd

Of kappen met die colo boer waar je nu zit. Een colocatie partner dat hun klanten zo afwimpelt kan wat mij betreft niet veel respect ontvangen. Een klant geeft duidelijk aan met een probleem te zitten, en daardoor met hogere kosten.

zondag 19 juni 2005 12:00

Acties:

Adze

CCNP !

Ik heb nu de webcam op mijn monitor. Zie je nu verkeer langskomen naar 62.194.157.218 ?

zondag 19 juni 2005 12:03

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Ja, ik zie dat ip adres inderdaad langskomen.

Tussen al die andere ip adressen

15mbit/sec nu

[ Voor 42% gewijzigd door WouterG op 19-06-2005 12:04 ]

zondag 19 juni 2005 12:04

Acties:

PowerSp00n

There is no spoon

(was niet echt reactie op bovenstaande post

)

Het lijkt mij duidelijk dat het met die webcam te maken heeft. Als je nu naar die beelden kijkt dan zie je dat er straks toch iets gaat gebeuren, en het wordt alleen maar drukker aan het verkeer te zien. Ook geen goed teken, het kan blijkbaar nog een stuk drukker worden straks...

Ik denk dat er snel iets aan gedaan moet worden, als je al dat traffic moet gaan betalen kan dat hoog oplopen denk ik zo...

[ Voor 36% gewijzigd door PowerSp00n op 19-06-2005 12:06 ]

zondag 19 juni 2005 12:05

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

PowerSp00n schreef op zondag 19 juni 2005 @ 12:04:
[...]

Het lijkt mij duidelijk dat het met die webcam te maken heeft. Als je nu naar die beelden kijkt dan zie je dat er straks toch iets gaat gebeuren, en het wordt alleen maar drukker aan het verkeer te zien. Ook geen goed teken, het kan blijkbaar nog een stuk drukker worden straks...

Server gaat denk ik maar plat.

Zou ik die kosten nog ergens kunnen verhalen?

zondag 19 juni 2005 12:05

Acties:

Adze

CCNP !

Tomcat schreef op zondag 19 juni 2005 @ 11:53:
Ja, ik weet wel dat broadcast uit ons segment ook bij ons terecht komt. Maar dit ip adres ligt toch niet in ons segment?

Klopt, maar met sniffen zie je hem dan wel ! en de frame is al over de kabel geweest, en heeft dus voor netwerk verkeer gezorgd. Jouw server doet er heel erg weinig mee verder.

[ Voor 5% gewijzigd door Adze op 19-06-2005 12:07 ]

zondag 19 juni 2005 12:07

Acties:

PowerSp00n

There is no spoon

Tomcat schreef op zondag 19 juni 2005 @ 12:05:
[...]

Server gaat denk ik maar plat.

Zou ik die kosten nog ergens kunnen verhalen?

Ik heb er niet veel verstand van, maar als jij kan aantonen dat daar iets fout gaat dat er iets via jullie server loopt of gewoon zooi naar gestuurd kan worden door hun fouten daar toch wel een mogelijkheid moet zijn? Al het materiaal wat je hebt (logs e.d.) goed opslaan....

zondag 19 juni 2005 12:12

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

PowerSp00n schreef op zondag 19 juni 2005 @ 12:07:
[...]

Ik heb er niet veel verstand van, maar als jij kan aantonen dat daar iets fout gaat dat er iets via jullie server loopt of gewoon zooi naar gestuurd kan worden door hun fouten daar toch wel een mogelijkheid moet zijn? Al het materiaal wat je hebt (logs e.d.) goed opslaan....

Ik heb nu een onvriendelijk en duidelijk mailtje hun richting opgestuurd. Het is overigens niet het eerste mailtje maar ze reageren gewoon niet. Vandaag is er in eindhoven een fietsevenement en dat word uitgezonden door die server.

Dat gaat dus een enorme hoeveelheid dataverkeer opleveren.

Zijn er mensen met ervaring op juridisch gebied over zulke zaken?

[ Voor 6% gewijzigd door WouterG op 19-06-2005 12:12 ]

zondag 19 juni 2005 12:14

Acties:

Verwijderd

Als ik vanaf hier een traceroute doe naar 62.212.91.150:

code:

[...]
 6  ge-3-0.r1.tc2.ams.nl.leaseweb.net (62.212.80.66)  11.143 ms  11.654 ms  11.079 ms
 7  r1.rbs.ams.nl.leaseweb.net (62.212.80.3)  12.661 ms  11.990 ms  11.475 ms
 8  * * *

en 82.192.87.128:

code:

[...]
 6  ge-3-0.r1.tc2.ams.nl.leaseweb.net (62.212.80.66)  11.116 ms  11.424 ms  11.271 ms
 7  r1.rbs.ams.nl.leaseweb.net (62.212.80.3)  11.949 ms  11.550 ms  11.334 ms
 8  wgoedegebuure.kyra-emotion.nl (82.192.87.128)  11.893 ms  12.544 ms  11.456

Loopt dat beide via dezelfde routers. De machine staat dus ergens bij jouw machine in de buurt (vanuit netwerkperspectief dan, fysiek waarschijnlijk ook, maar hoeft niet). Vermoedelijk staat op die machine de default gateway ingesteld op zijn eigen IP adres en heeft je provider proxy-arp aanstaan op hun routers. Ik heb het nog nooit uitgeprobeerd, maar ik denk dat je dan dit effect krijgt.
Zorg dus dat je provider het probleem oplost en dat je het geld van het dataverkeer terugkrijgt.

zondag 19 juni 2005 12:16

Acties:

PowerSp00n

There is no spoon

Tomcat schreef op zondag 19 juni 2005 @ 12:12:
[...]

Ik heb nu een zeer onvriendelijk en duidelijk mailtje hun richting opgestuurd. Vandaag is er in eindhoven een fietsevenement en dat word uitgezonden door die server.

Dat gaat dus een enorme hoeveelheid dataverkeer opleveren.

Zijn er mensen met ervaring op juridisch gebied over zulke zaken?

Als ik jou was zou ik gewoon de telefoon pakken en het eerste en beste LeaseWeb noodnummer bellen wat je kunt vinden :#. Ik denk dat je van LeaseWeb op z'n vroegst morgen pas iets hoort per e-mail.

zondag 19 juni 2005 12:17

Acties:

TUX2K

Is die server van jou of van een bedrijf of stichting?
Als hij van jou is en je een rechtsbijstand verzekering hebt zou je gewoon even bij de rechts winkel langs kunnen gaan. Dit kan natuurlijk altijd, maar met z'n verzekering hoe je zelf niks te betalen.

Als je host namensn een bedrijf of stichting moet deze een rechtsbijstand hebben.

Maar ik zou zo en zo proberen om je dataverkeer vergoed te krijgen, dan wel van jou colo ( als hij fout zit ) dan wel van lease web.

Maar probeer het eerste netjes voor je gaat dreigen met juridische stappen.

[ Voor 25% gewijzigd door TUX2K op 19-06-2005 12:21 ]

zondag 19 juni 2005 12:19

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

PowerSp00n schreef op zondag 19 juni 2005 @ 12:16:
[...]

Als ik jou was zou ik gewoon de telefoon pakken en het eerste en beste LeaseWeb noodnummer bellen wat je kunt vinden :#. Ik denk dat je van LeaseWeb op z'n vroegst morgen pas iets hoort per e-mail.

Ik kan geen telefoonnummers vinden van leaseweb. Kan iemand mij zo'n nummer mailen als iemand die heeft?

zondag 19 juni 2005 12:23

Acties:

TUX2K

Probeer het nummer op de website eens:
+31 30 23 68 696

zondag 19 juni 2005 12:27

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

TUX2K schreef op zondag 19 juni 2005 @ 12:23:
Probeer het nummer op de website eens:
+31 30 23 68 696

Alleen bereikbaar tijdens kantooruren, al geprobeerd.

Ze moeten ergens een storingsdienst hebben maar de nummers daarvan zullen niet openbaar verspreid worden maar alleen voor klanten zijn. En zo'n nummer zou ik erg graag willen krijgen

zondag 19 juni 2005 12:27

Acties:

Pantagruel

Mijn 80486 was snel,....was!

Oepsie, iemand was me voor

Erhhmm eventjes langsgaan met een honkbal knuppel

?

Anders toch helaas je server uitzetten en dan wachten tot maandag. Trouwens wel een bud colo-boer als ze je voor deze shit laten op draaien, lijkt mij dat zulk soort 'broadcast problemen' eerder voor hun rekening zijn dan voor de klanten. Als ze blijven eiklene, dan toch verhuizen naar een andere colo en een klacht in dienen over je huidige colo-boer.

[ Voor 148% gewijzigd door Pantagruel op 19-06-2005 12:30 ]

Asrock Z77 Extreme6, Intel i7-3770K, Corsair H100i, 32 GB DDR-3, 256 GB Samsung SSD + 2 x 3TB SATA, GeForce GTX 660 Ti, Onboard NIC and sound, SyncMaster 24"&22" Wide, Samsung DVD fikkertje, Corsair 500R

zondag 19 juni 2005 12:30

Acties:

PowerSp00n

There is no spoon

T: +31 (0)30 261 18 74 (not to be used by customers, only for peering issues)

(en gewoon lekker sch**t hebben uiteraard

)

zondag 19 juni 2005 12:35

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Ja, ik weet dat adres maar daar zijn ze niet te bereiken.

Ik heb de server uitgezet. Voor de zekerheid eerst nog een paar logs gemaakt met ethereal.

Heb in het bios ingesteld dat hij elke dag om 18:00 automatisch weer aangaat, hoop dat dat functioneerd.

Nu is het afwachten

[ Voor 14% gewijzigd door WouterG op 19-06-2005 12:37 ]

zondag 19 juni 2005 12:49

Acties:

Rob

Jouw colo boer en leaseweb hebben echt met elkaar te maken. Check maar eens met ripe.net, beide ip ranges zijn van leaseweb.
Jouw colo moet dus niet jou met het probleem opzadelen, maar dit oplossen.

Meld je colo ook even dat je machine nu uitstaat, als er nog steeds broadvast verkeer op je port komt en ze willen je er voor laten betalen, dan kan jij zeggen dat je machine uit stond in die tijd.

[ Voor 34% gewijzigd door Rob op 19-06-2005 12:53 ]

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

zondag 19 juni 2005 12:52

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Ik heb zojuist de server uitgezet, uitgaand verkeer volgens onze colo (mrtg pagina van switch) is 0, binnenkomend blijft echter 15mbit.

Ons dataverkeer blijft dus gewoon enorm oplopen. En het is een stijgende lijn. 25GB al, denk ik dat alleen vandaag al onze datalimiet volkrijg.

zondag 19 juni 2005 12:57

Acties:

PowerSp00n

There is no spoon

Tomcat schreef op zondag 19 juni 2005 @ 12:52:
Ik heb zojuist de server uitgezet, uitgaand verkeer volgens onze colo (mrtg pagina van switch) is 0, binnenkomend blijft echter 15mbit.

Ons dataverkeer blijft dus gewoon enorm oplopen. En het is een stijgende lijn. 25GB al, denk ik dat alleen vandaag al onze datalimiet volkrijg.

Dat was ook wel te verwachten. Zeker aangezien je zelf aangeeft dat je het ding ingesteld hebt in het BIOS dat ie weer zelf aan moet. Ergens blijft je mobo dus actief, en je NIC (voor WOL?) waarschijnlijk ook wel.

zondag 19 juni 2005 12:59

Acties:

Wolfboy

ubi dubium ibi libertas

Wat krijg je eigenlijk te zien als je dit intikt?

netstat -lpen

(Eventueel netstat -lpen > filename doen om het naar een bestand te dumpen)

Blog [Stackoverflow] [LinkedIn]

zondag 19 juni 2005 13:04

Acties:

Rob

Tomcat schreef op zondag 19 juni 2005 @ 13:02:
[...]

Sorry, staat nu uit. Maar ik heb 30mb aan ethereal logs, moet voldoende zijn.

Scroll even naar boven om een compleet pakketje te zien. Dat soort pakketjes kreeg ik dus > 10mbit/sec binnen terwijl uitgaand bijna 0 was.

Heb je mijn bericht hierboven nog gelezen?

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

zondag 19 juni 2005 13:10

Acties:

Ploink

Zoek eens waar dat MAC adres 00:11:43:e5:95:86 vandaan komt en welk ip er echt achter zit. Mogelijk staat het gewoon in je ARP cache. gebruik het 'arp' command op het te zien.

zondag 19 juni 2005 13:13

Acties:

Xandrios

Je hebt bij Leaseweb toegang gekregen tot de APC switch; daarmee kun je je server op afstand rebooten / uitzetten / starten. Als ie helemaal uitstaat zal het verkeer niet langer over jou switchpoort heenlopen.

Overigens heb ik zelf ook eens hetzelfde gehad bij leaseweb. Enkele dagen lang de volle 10Mbit incoming verkeer. Mijn server heeft 10Mbit flatfee, het heeft me dus niets extra gekost...maar vervelend was het wel.
Oorzaak: Een andere klant had een verkeerd broadcast adres ingesteld: .254 ipv .255. In mijn geval was het na melding in enkele uurtjes gevonden en opgelost door leaseweb, maar als jij via een reseller werkt kan dat langer duren... (En zeker omdat het 'n zondag is; leaseweb is dan ook onbereikbaar als je geen SLA hebt)

[ Voor 11% gewijzigd door Xandrios op 19-06-2005 13:16 ]

zondag 19 juni 2005 13:17

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

-Rob- schreef op zondag 19 juni 2005 @ 13:04:
[...]

Heb je mijn bericht hierboven nog gelezen?

Sorry, de edit heb ik niet meer gelezen.
Bedankt voor de tip, ik heb het mailtje verstuurd!

Xandrios schreef op zondag 19 juni 2005 @ 13:13:
Je hebt bij Leaseweb toegang gekregen tot de APC switch; daarmee kun je je server op afstand rebooten / uitzetten / starten. Als ie helemaal uitstaat zal het verkeer niet langer over jou switchpoort heenlopen.

Wij hebben helaas geen beschikking over een APC switch, we zitten niet direct bij leaseweb.

Ploink schreef op zondag 19 juni 2005 @ 13:10:
Zoek eens waar dat MAC adres 00:11:43:e5:95:86 vandaan komt en welk ip er echt achter zit. Mogelijk staat het gewoon in je ARP cache. gebruik het 'arp' command op het te zien.

Vanavond als de server weer online is dan zal ik het proberen.

[ Voor 67% gewijzigd door WouterG op 19-06-2005 13:20 ]

zondag 19 juni 2005 13:23

Acties:

Wolfboy

ubi dubium ibi libertas

Tomcat schreef op zondag 19 juni 2005 @ 13:02:
[...]

Sorry, staat nu uit. Maar ik heb 30mb aan ethereal logs, moet voldoende zijn.

Scroll even naar boven om een compleet pakketje te zien. Dat soort pakketjes kreeg ik dus > 10mbit/sec binnen terwijl uitgaand bijna 0 was.

Ik heb het pakketje gezien ja, maar het handige van netstat gebruiken is dat je dan precies kunt zien welke programma's draaien en op welke poorten ze luisteren.
Misschien dat je daarmee een service zou kunnen vinden die draait zonder dat je het merkt.

Voorbeeld

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      0          7262       7209/mysqld
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          7691       7651/smbd
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      0          7913       7715/motion
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      0          7638       7602/pure-ftpd (SER
tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN      0          7587       7553/pptpd
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      0          7690       7651/smbd
tcp        0      0 :::80                   :::*                    LISTEN      0          7275       7276/apache2

Blog [Stackoverflow] [LinkedIn]

zondag 19 juni 2005 13:42

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Wolfboy schreef op zondag 19 juni 2005 @ 13:23:
[...]
Ik heb het pakketje gezien ja, maar het handige van netstat gebruiken is dat je dan precies kunt zien welke programma's draaien en op welke poorten ze luisteren.
Misschien dat je daarmee een service zou kunnen vinden die draait zonder dat je het merkt.

Voorbeeld

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      0          7262       7209/mysqld
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          7691       7651/smbd
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      0          7913       7715/motion
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      0          7638       7602/pure-ftpd (SER
tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN      0          7587       7553/pptpd
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      0          7690       7651/smbd
tcp        0      0 :::80                   :::*                    LISTEN      0          7275       7276/apache2

Ik ben er 100% zeker van dat het niet aan een service op onze server ligt. Nu hij uitstaat blijft het verkeer binnenkomen op de switch.

Maar vanavond zal ik het even opstarten en de resultaten hier posten

En zojuist ben ik er achter gekomen dat er meerdere mensen last hebben van dit probleem.

[ Voor 3% gewijzigd door WouterG op 19-06-2005 13:45 ]

zondag 19 juni 2005 13:44

Acties:

Xandrios

Tomcat schreef op zondag 19 juni 2005 @ 13:42:
En zojuist ben ik er achter gekomen dat er meerdere mensen last hebben van dit probleem.

Dan is het zeeer waarschijnlijk hetzelfde probleem als dat ik had. 't is aan leaseweb om dat op te lossen, of, eigenlijk je hoster (reseller van leaseweb).

zondag 19 juni 2005 13:54

Acties:

Verwijderd

En als je nu eens ingeeft:

code:

1	route add -host 62.212.91.150 reject

Heeft mijn server nogal eens verlost van vervelende gasten.

zondag 19 juni 2005 13:58

Acties:

JorisPenders

Designer & Coder

Als je dan een rekening krijgt.. zou ik hem alvast niet betalen.

Lijkt me zeer lastig probleem!

SystemSpecs -- WebArea - Your Online Home -- Webdesign

zondag 19 juni 2005 14:00

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Kreeg net een telefoontje van onze coloboer, probleem is nu in behandeling en verkeer word niet meegeteld.

Al hun klanten hadden er momenteel last van.

Hartelijk bedankt voor jullie hulp!

zondag 19 juni 2005 14:01

Acties:

Victor

Verwijderd schreef op zondag 19 juni 2005 @ 13:54:
En als je nu eens ingeeft:
code:
1
route add -host 62.212.91.150 reject
Heeft mijn server nogal eens verlost van vervelende gasten.

Het vervelende is dat het dataverkeer dan al voorbij de switch is die het dataverkeer in de gaten houdt. Met andere woorden, je server verwerkt het niet, maar het is al wel meegeteld als verbruikte bandbreedte. Daarom krijgt de TS nu ook zo'n gepeperde rekening.
Verder is dit duidelijk een gevalletje prutswerk buiten de TS om, en hij zou dus ook niet moeten hoeven opdraaien voor het gekluns van een een medewerker van Kyra/Leaseweb of een klant van één van beide partijen.

zondag 19 juni 2005 14:04

Acties:

vriesdude

Ander IP aanvragen misschien ?

/dev/null

zondag 19 juni 2005 14:06

Acties:

CyBeR

💩

Vraag bij dit soort problemen volgende keer of ze je server in een eigen vlan willen zetten.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 19 juni 2005 14:39

Acties:

WouterG

Dit is geen ondertitel

Topicstarter

Belt hij net nog even, verteld hij me dat het dataverkeer van deze maand moeilijk te bepalen is en daarom maar niet telt.

* WouterG is weer vrolijk en gaat nu van het weer genieten.

En de support is $_/-\o_$ , je moet alleen het goede telefoonnummer hebben.

zondag 19 juni 2005 14:55

Acties:

Kippenijzer

McFallafel, nu met paardevlees

Op zich in het wel een erg slechte coloboer als hij je broadcast verkeer laat betalen. HEt verkeer dat feitelijk betaald moet worden is het verkeer dat echt van/naar internet komt/gaat. Dit soort broadcast troep zal *nooit* de router passeren, en zal zodoende ook geen geld kosten, danwel LEaseWeb is zaad (heej, dat lees je vaker) als ze het hun klanten (en in dit geval dus jouw reseller) wel berekenen, danwel je reseller is zaad, omdat hij het vrolijk doorberekend...

zondag 19 juni 2005 14:55

Acties:

DJSmiley

Tomcat schreef op zondag 19 juni 2005 @ 14:39:
Belt hij net nog even, verteld hij me dat het dataverkeer van deze maand moeilijk te bepalen is en daarom maar niet telt.

* DJSmiley is weer vrolijk en gaat nu van het weer genieten.

En de support is $_/-\o_$ , je moet alleen het goede telefoonnummer hebben.

Hehe, netjes geregeld iig.

ik zit zelf ook bij een (elcheapo) coloboer, idd eigenlijk hetzelfde als jouw: Onbereikbaar buiten kantoortijden, geen APC mogelijkheden enz. Maar ik heb 06 van een van de medewerkers dus kan in geval van nood rechtstreeks bellen.
Hun zitten dan niet bij leaseweb, maar hebben eigen netwerk, dus dat is soms iets sneller, scheelt weer een extra partij ertussen.

Meeste providers zullen zoiezo niet strak zulk dataverkeer rekenen, tijdzij het aantoonbaar door de klant veroorzaakt is. Anders zou het nogal dubieus zijn. Behalve dat het ze een klant kost als ze een enorme factuur sturen, komt t ook lomp over en maak je daar geen goede reclame mee.

2 jaar geleden een DDOS gehad bij NXS, hele dag traffic werd niet meegeteld.
Vorige maand 10min 60Mbit voor mn kiezen gehad, ook niets van gehoord, was heel snel verholpen.

En ach, met 320gig (ofzo) limiet per maand kan een klein ddosje ook wel zonder problemz.