8 TB traffic op 1 dag

Kan je niet even netlimiter runnen op je server en kijken welk programma er zoveel up/download?

Wij kunnen niet vertellen of het inkomend of uitgaand verkeer is. Als het uitgaand verkeer is, kan de server zijn gebruikt voor een DoS aanval, of als FTP server of iets dergelijks. Bij inkomend verkeer was je het doelwit van een (D)DoS aanval.

Of iemand die jouw serverruimte gebruikt als fileserver ofzo voor illegale troep? Wordt wel meer gedaan, al dacht ik dat het vooral met universiteitsservers enzo gebeurde...

[ Voor 0% gewijzigd door Borromini op 05-07-2005 19:42 . Reden: Sjit, net te laat :) ]

Zonder meer informatie, hebben we natuurlijk hetzelfde antwoord wat je zelf al geschreven hebt....

Omdat er zoveel packets gegenereerd worden, *lijkt* het op een DoS achtig iets.

Het moet uiteindelijk weinig verschil uitmaken. Je zult sowieso met een verse install moeten beginnen. Kopieer desnoods even alle logs naar een harddisk die je kunt meenemen voor analyse.

QUILIX schreef op dinsdag 05 juli 2005 @ 19:44:
Server is helaas afgelosten. Kan er niet meer bij.

Wat kun je dan nog doen? Niets? Je kan zelf geen poging meer doen om het te herstellen?

Verwijderd schreef op dinsdag 05 juli 2005 @ 19:47:

Wat kun je dan nog doen? Niets? Je kan zelf geen poging meer doen om het te herstellen?

Het lijkt me duidelijk dat je even niets meer kan. Of je moet het ding aan het internet hangen en de rekening te accepteren en te zien wat je kunt redden, of je (of de beheerder) moet erheen en gewoon een nieuwe install doen.

even /var/log/syslog checken. Verder met tcpdump of een ander progje even je traffic controleren.
ps -e geeft je processen weer. Met last kun je kijken wie er als laatste is ingelogd, onder welke gebruikersnaam en vanaf welke pc. Dit soort dingen zouden genoeg informatie moeten geven.

Zou inderdaad wel eens een Distributed Denial of Service kunnen zijn. Heb je altijd zo'n hoog dataverbruik? Of is dat echt alleen maar van de laatste dagen?

Het zou ook kunnen zijn dat er een rootkit op geinstalleerd is waardoor je zelfs met genoemde commandos weinig boven water zal krijgen.
Ik zou voor alle zekerheid de server opnieuw installeren en ik zou me wat meer in Linux verdiepen om dit in de toekomst te voorkomen
Weinig kennis en een vette connectie is vragen om problemen imho.

Ik vind dit redelijk onvoorstelbaar: iemand die geen flauw benul heeft van wat er op zijn server gebeurt of zou kunnen gebeuren en de hoster die dan toch gewoon vriendelijk blijft.

En ik snap al helemaal niet dat je blij bent dat je server weer in de lucht is, terwijl je nog steeds geen idee hebt wat er aan de hand is.

Ik weet niet wat je precies met die server doet, maar hou je er rekening mee dat wanneer 'ie gekraakt is, alle data ook als gecompromiteerd beschouwd moet worden ?

Ik vrees dat de hoeveelheid geld die je er mee verdient niet opweegt tegen de rekening van 8TB/dag. Even offline halen en herinstalleren zou ik toch maar doen.

8 tb in 1 dag? Zit je daar een gigabit-lijn vol te trekken (8TB is 97mb/s 24 uur lang).

Andersom: om op 30 Mbit/s 8TB te bereiken heb je 25 dagen nodig.

Bedoelen ze terabit ipv terabyte mag je alles door 8 delen, maar dan nog lukt je dat niet / amper in 1 dag

Belangrijkste is inderdaad kijken waar dat allemaal vandaan komt en of je het ergens aan de grens kunt blockeren (in de routers van je provider dus), en vervolgens een mailtje sturen naar abuse @ proverder-va-wie-dat-ip-is...

Is het een distributed iets, dan wordt het al een heel stuk lastiger. Dan kun je vaak niets anders dan wachten tot het stopt...

Ik vind dat dit een beetje te weinig te maken heeft met advanced networking, eerder met een bak die iets doet wat je niet wilt. Maar aangezien het meer op een gerootte bak lijkt, move ik hem naar Beveiliging & Virussen, mocht het toch aan je config liggen, dan mag iemand hem doorgooien naar Non-Windows Operating Systems

Borromini schreef op dinsdag 05 juli 2005 @ 19:41:
Of iemand die jouw serverruimte gebruikt als fileserver ofzo voor illegale troep? Wordt wel meer gedaan, al dacht ik dat het vooral met universiteitsservers enzo gebeurde...

Hoeft niet alleen op uni-servers te gebeuren. Elke bak met genoeg storage en een dikke lijn eraan is een perfect doelwit.
Eens zo een bak gekraakt is kan het erg snel gaan met de bandbreedte. Dat ding staat meteen vol warez, en nog geen uur erna zitten er een hele hoop mensen op te hammeren.

Ik zou je server niet meer terug online halen voordat je juist weet wat er aan de hand is of na een eventuele reïnstall. Als je bak geroot is geworden is een reïnstall ook de enige optie die je hebt.

En je zegt in je TS dat je de servers huurt. Is dat enkel de hardware, of zorgt het bedrijf ook voor het OS en de beveiliging enzo ?

[ Voor 9% gewijzigd door DinX op 05-07-2005 21:53 ]

DinX schreef op dinsdag 05 juli 2005 @ 21:52:
[...]


Hoeft niet alleen op uni-servers te gebeuren. Elke bak met genoeg storage en een dikke lijn eraan is een perfect doelwit.
Eens zo een bak gekraakt is kan het erg snel gaan met de bandbreedte. Dat ding staat meteen vol warez, en nog geen uur erna zitten er een hele hoop mensen op te hammeren.

Ik zou je server niet meer terug online halen voordat je juist weet wat er aan de hand is of na een eventuele reïnstall. Als je bak geroot is geworden is een reïnstall ook de enige optie die je hebt.

En je zegt in je TS dat je de servers huurt. Is dat enkel de hardware, of zorgt het bedrijf ook voor het OS en de beveiliging enzo ?

Het kan idd best, maar daar trek je echt nooit 8 TB/dag mee hoor. 2-3 TB/maand, ja, kan best.

Paul Nieuwkamp schreef op dinsdag 05 juli 2005 @ 21:32:
8 tb in 1 dag? Zit je daar een gigabit-lijn vol te trekken (8TB is 97mb/s 24 uur lang).

Andersom: om op 30 Mbit/s 8TB te bereiken heb je 25 dagen nodig.

Je zegt het zelf al, het is nu de 6e, over 25 dagen is er een maand voorbij. dus hij krijgt aan het eind van de maand een rekening voor 8TB

warez lijkt het niet te zijn de gemiddelde pakketgroote is 62 bytes. Voor file transfer verwacht je iets rond de 1500 bytes pakketgrootte. Om het ergste te voorkomen klus met iptables een uitgaande firewall die enkel verkeer vanaf poort 80 en 22 toe staat.
iptables -P OUTPUT DROP
iptables -F OUTPUT
iptables -A OUTPUT --protocol tcp -sport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -sport 22 -j ACCEPT

volgens mij klopt dit wel alles in een scriptje zetten niet regel voor regel inkloppen wan tdan ben je je bak kwijt na het 1e commando

Titel klopt niet helemaal. Er staat in de mail dat je aan het einde van de periode je een overscore van je datatraffic hebt van 8TB. Dit is dus bovenop de toegestane traffic. Weet niet wat die is maar denk wel dat je per maand betaald. Die extra 8TB zal dus ook per maand gegenereerd worden begrijp ik uit die mail.

Denk dat iemand een pubstro er bij heeft.

Ik vind het wel erg netjes aangegeven van je server centrum. Ze hadden er ook gelijk een factuurtje aan kunnen attachen.. die zal niet mals geweest zijn.

Dan daarna ook nog netjes je server ietsje open zetten zodat je erbij kan. Erg profi.

Bij welk bedrijf host je eigenlijk?

Verwijderd schreef op woensdag 06 juli 2005 @ 23:49:
Bij welk bedrijf host je eigenlijk?

Dat vroeg ik me ook af. Goed bedrijf als ik het zo allemaal zie

QUILIX schreef op woensdag 06 juli 2005 @ 22:06:
Mochten ze het niet
vinden dan krijg ik een fresh install met nieuwe ip nummers.

Een nieuw IP heeft weinig zin, er wordt een poortscan over gegooid en jouw systeem komt er weer als 'vulnerable' uit. Het is dus een kwestie van goed configureren, misschien moet je iemand er maar eens naar laten kijken die wel kennis van Linux heeft?

TrailBlazer schreef op woensdag 06 juli 2005 @ 12:41:
warez lijkt het niet te zijn de gemiddelde pakketgroote is 62 bytes. Voor file transfer verwacht je iets rond de 1500 bytes pakketgrootte. Om het ergste te voorkomen klus met iptables een uitgaande firewall die enkel verkeer vanaf poort 80 en 22 toe staat.
iptables -P OUTPUT DROP
iptables -F OUTPUT
iptables -A OUTPUT --protocol tcp -sport 80 -j ACCEPT
iptables -A OUTPUT --protocol tcp -sport 22 -j ACCEPT

Dit lijkt me toch het allereerste wat je doet met een systeem dat bloot aan het internet hangt? Alleen die poorten die absoluut noodzakelijk zijn openzetten, de rest zo dicht als het maar kan.

Kan toch niet?

als je met 30 mbit/s gaat, heb je dus 3.75 MB p/s
3.75 x 60 x 60 x 24 = 324 000 MB = 324 GB = 0,324 TB

Oftewel, dit is bullshit. Waarschijnlijk zit er een fout in hun systeem...!

[ Voor 2% gewijzigd door Verwijderd op 07-07-2005 13:36 . Reden: Rekenfoutje! ]

Verwijderd schreef op donderdag 07 juli 2005 @ 13:16:
Kan toch niet?

als je met 30 mbit/s gaat, heb je dus 3.75 MB p/s
3.75 x 60 x 60 x 24 = 3 240 000 MB = 3240 GB = 3,24 TB

Daar staat een 0 teveel. 30Mbit/s is 316GB/dag.

In het mailtje wordt niet over een tijdperiode gesproken, alleen TS heeft het over 8TB/dag. Ik neem aan dat de hostingprovider een rekening per maand opmaakt, en 316GB/dag is ruim 9TB/maand (over 30 dagen).

Dus het klopt best wel.

Maasluip schreef op donderdag 07 juli 2005 @ 10:02:
[...]

Dit lijkt me toch het allereerste wat je doet met een systeem dat bloot aan het internet hangt? Alleen die poorten die absoluut noodzakelijk zijn openzetten, de rest zo dicht als het maar kan.

ja mij ook

QUILIX schreef op donderdag 07 juli 2005 @ 13:10:
[...]


Waar kan ik een goede firewall vinden voor de server? Die bijv. alleen toestemming geeft aan web, ftp en mail. Dat een beetje makkelijk is. Ik heb niet veel verstand van Linux.

alles staat zo dicht. Alleen WEB en SSH mogen naar buiten.

Al het uitgaande verkeer vanaf andere poorten dan 80 en 22 wordt gedropped. Je kan wel een sessie proberen op te zetten alleen er zal nooit antwoord op komen.
Tuurlijk is het mooier om ook alles inbound te blokken maar als je dinsdag al een probleem had had ik toch gehoopt dat je de netfilter howto al een keer had doorgelezen

[ Voor 30% gewijzigd door TrailBlazer op 07-07-2005 13:25 ]

Maasluip schreef op donderdag 07 juli 2005 @ 13:22:
[...]
Daar staat een 0 teveel. 30Mbit/s is 316GB/dag.

In het mailtje wordt niet over een tijdperiode gesproken, alleen TS heeft het over 8TB/dag. Ik neem aan dat de hostingprovider een rekening per maand opmaakt, en 316GB/dag is ruim 9TB/maand (over 30 dagen).

Dus het klopt best wel.

je kan toch wel opvragen hoeveel er per dag is geup- en gedownload is --> Statistieken!???