Toon posts:

[CentOS6] Enorme hoeveelheden uitgaand traffic (DNS)

Pagina: 1
Acties:

maandag 24 juni 2013 23:30

Acties:
  • 0 Henk 'm!
  • MindStorm
  • Registratie: Juli 2002
  • Laatst online: 16-01-2024

MindStorm

Topicstarter
Op een CentOS6 server heb ik het pakket ISPconfig3 geinstalleerd. De installatie ging prima, het pakket was beschikbaar. Ik kreeg in de loop van de dag mails van mijn provider dat het systeem ontzettend veel verkeer aan het verstoken is (150GB in 15 uur, met pieken tot 30GB in één uur).

Vervolgens heb ik op het systeem ingelogged en alle processen gestopt. Het systeem gebruikt nog steeds veel verkeer (4-5 mbit/s).

code:
1
2
3
4
5
6
7
8
9
10

[root@system~]# uptime && ifconfig eth0
 23:22:13 up 38 min,  2 users,  load average: 0.00, 0.11, 0.12
eth0      Link encap:Ethernet  HWaddr 00:50:56:00:22:FA
          inet addr:5.9.59.156  Bcast:5.9.59.159  Mask:255.255.255.224
          inet6 addr: fe80::250:56ff:fe00:22fa/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8367599 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1744747 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:652722392 (622.4 MiB)  TX bytes:137550273 (131.1 MiB)


Vervolgens jnettop geinstalleerd om te zien wat het dan is:

code:
1
2
3
4

LOCAL <-> REMOTE                                                                                                                                                               TXBPS   RXBPS TOTALBPS
 (IP)                                                                        PORT  PROTO  (IP)                                                                        PORT       TX      RX    TOTAL
system.domain.com <-> 65.52.24.110                                                                                                                                            0b/s  260k/s   260k/s
 ipaddr                                                                    53    UDP  65.52.24.110                                                               49940       0b    363m     363m


Het is UDP verkeer (poort 53, DNS). In het bovenstaande schema is het inkomend (RX), maar voor een reboot is het ook uitgaand geweest.

Proceslijst:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.1  19228  1352 ?        Ss   22:43   0:00 /sbin/init
root         2  0.0  0.0      0     0 ?        S    22:43   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S    22:43   0:00 [migration/0]
root         4  0.0  0.0      0     0 ?        S    22:43   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S    22:43   0:00 [migration/0]
root         6  0.0  0.0      0     0 ?        S    22:43   0:00 [watchdog/0]
root         7  0.0  0.0      0     0 ?        S    22:43   0:00 [events/0]
root         8  0.0  0.0      0     0 ?        S    22:43   0:00 [cgroup]
root         9  0.0  0.0      0     0 ?        S    22:43   0:00 [khelper]
root        10  0.0  0.0      0     0 ?        S    22:43   0:00 [netns]
root        11  0.0  0.0      0     0 ?        S    22:43   0:00 [async/mgr]
root        12  0.0  0.0      0     0 ?        S    22:43   0:00 [pm]
root        13  0.0  0.0      0     0 ?        S    22:43   0:00 [sync_supers]
root        14  0.0  0.0      0     0 ?        S    22:43   0:00 [bdi-default]
root        15  0.0  0.0      0     0 ?        S    22:43   0:00 [kintegrityd/0]
root        16  0.0  0.0      0     0 ?        S    22:43   0:00 [kblockd/0]
root        17  0.0  0.0      0     0 ?        S    22:43   0:00 [kacpid]
root        18  0.0  0.0      0     0 ?        S    22:43   0:00 [kacpi_notify]
root        19  0.0  0.0      0     0 ?        S    22:43   0:00 [kacpi_hotplug]
root        20  0.0  0.0      0     0 ?        S    22:43   0:00 [ata/0]
root        21  0.0  0.0      0     0 ?        S    22:43   0:00 [ata_aux]
root        22  0.0  0.0      0     0 ?        S    22:43   0:00 [ksuspend_usbd]
root        23  0.0  0.0      0     0 ?        S    22:43   0:00 [khubd]
root        24  0.0  0.0      0     0 ?        S    22:43   0:00 [kseriod]
root        25  0.0  0.0      0     0 ?        S    22:43   0:00 [md/0]
root        26  0.0  0.0      0     0 ?        S    22:43   0:00 [md_misc/0]
root        27  0.0  0.0      0     0 ?        S    22:43   0:00 [khungtaskd]
root        28  0.0  0.0      0     0 ?        S    22:43   0:00 [kswapd0]
root        29  0.0  0.0      0     0 ?        SN   22:43   0:00 [ksmd]
root        30  0.0  0.0      0     0 ?        SN   22:43   0:00 [khugepaged]
root        31  0.0  0.0      0     0 ?        S    22:43   0:00 [aio/0]
root        32  0.0  0.0      0     0 ?        S    22:43   0:00 [crypto/0]
root        37  0.0  0.0      0     0 ?        S    22:43   0:00 [kthrotld/0]
root        39  0.0  0.0      0     0 ?        S    22:43   0:00 [kpsmoused]
root        40  0.0  0.0      0     0 ?        S    22:43   0:00 [usbhid_resumer]
root        70  0.0  0.0      0     0 ?        S    22:43   0:00 [kstriped]
root       213  0.0  0.0      0     0 ?        S    22:43   0:00 [scsi_eh_0]
root       214  0.0  0.0      0     0 ?        S    22:43   0:00 [scsi_eh_1]
root       233  0.0  0.0      0     0 ?        S    22:43   0:00 [virtio-blk]
root       332  0.0  0.0      0     0 ?        S    22:43   0:00 [kdmflush]
root       334  0.0  0.0      0     0 ?        S    22:43   0:00 [kdmflush]
root       357  0.0  0.0      0     0 ?        S    22:43   0:00 [jbd2/dm-0-8]
root       358  0.0  0.0      0     0 ?        S    22:43   0:00 [ext4-dio-unwrit]
root       426  0.0  0.0  10644   392 ?        S<s  22:43   0:00 /sbin/udevd -d
root       626  0.0  0.0      0     0 ?        S    22:43   0:00 [virtio-net]
root       635  0.0  0.0      0     0 ?        S    22:43   0:00 [hd-audio0]
root       644  0.0  0.0      0     0 ?        S    22:43   0:00 [vballoon]
root       776  0.0  0.0      0     0 ?        S    22:43   0:00 [jbd2/vda1-8]
root       777  0.0  0.0      0     0 ?        S    22:43   0:00 [ext4-dio-unwrit]
root       843  0.0  0.0      0     0 ?        S    22:43   0:00 [kauditd]
root      1057  0.0  0.0  27636   692 ?        S<sl 22:43   0:00 auditd
dbus      1110  0.0  0.0  21400   564 ?        Ss   22:43   0:00 dbus-daemon --system
root      1147  0.0  0.0  64116   572 ?        Ss   22:43   0:00 /usr/sbin/sshd
root      1544  0.0  0.0   4056   556 tty1     Ss+  22:43   0:00 /sbin/mingetty /dev/tty1
root      1546  0.0  0.0   4056   552 tty2     Ss+  22:43   0:00 /sbin/mingetty /dev/tty2
root      1548  0.0  0.0   4056   560 tty3     Ss+  22:43   0:00 /sbin/mingetty /dev/tty3
root      1550  0.0  0.0   4056   560 tty4     Ss+  22:43   0:00 /sbin/mingetty /dev/tty4
root      1552  0.0  0.0   4056   556 tty5     Ss+  22:43   0:00 /sbin/mingetty /dev/tty5
root      1554  0.0  0.0   4056   556 tty6     Ss+  22:43   0:00 /sbin/mingetty /dev/tty6
root      1561  0.0  0.0  10684   412 ?        S<   22:43   0:00 /sbin/udevd -d
root      1562  0.0  0.0  10684   412 ?        S<   22:43   0:00 /sbin/udevd -d
root      1563  0.0  0.4  97876  4116 ?        Ss   22:43   0:00 sshd: ik[priv]
ik         1565  0.0  0.1  97876  1828 ?        S    22:43   0:00 sshd: ik@pts/0
ik         1566  0.0  0.1 108296  1844 pts/0    Ss   22:43   0:00 -bash
root      1583  0.0  0.1 145344  1668 pts/0    S    22:43   0:00 su -
root      1584  0.0  0.1 108372  1968 pts/0    S    22:44   0:00 -bash
root      1611  0.0  0.0      0     0 ?        S    22:44   0:00 [bluetooth]
root      1710  0.0  0.4  97876  4124 ?        Ss   22:48   0:00 sshd: ik[priv]
ik         1712  0.0  0.1  97876  1840 ?        S    22:48   0:00 sshd: ik@pts/1
ik         1713  0.0  0.1 108296  1852 pts/1    Ss   22:48   0:00 -bash
root      1730  0.0  0.1 145344  1672 pts/1    S    22:48   0:00 su -
root      1731  0.0  0.1 108300  1936 pts/1    S    22:48   0:00 -bash
root      5772  6.5  0.7 491008  7280 pts/1    Sl+  23:00   1:54 jnettop
root     21432  0.0  0.1 110232  1144 pts/0    R+   23:29   0:00 ps aux


rkhunter geeft geen fouten of waarschuwingen, verder draaien er geen applicaties (niet eens crond of syslog). Ik ben het spoor volledig bijster - hoe kan ik uitvogelen welke applicatie verantwoordelijk is voor de enorme hoeveelheid verkeer? Of is het een aanval van buitenaf?

Overigens heb ik het systeem voor nu maar even uit gezet, mocht het bezig zijn met een aanval naar iets van de buitenwereld.

[ Voor 0% gewijzigd door MindStorm op 24-06-2013 23:32 . Reden: code tag afsluiten ]

maandag 24 juni 2013 23:37

Acties:
  • 0 Henk 'm!

Verwijderd

Dat klinkt als een DNS amplification attack.

dinsdag 25 juni 2013 21:29

Acties:
  • 0 Henk 'm!
  • MindStorm
  • Registratie: Juli 2002
  • Laatst online: 16-01-2024

MindStorm

Topicstarter
Thanks, dat lijkt het inderdaad te zijn. Anders dan het aanpassen van de named configuratie (
code:
1

recursion no;
valt er voor mij vrij weinig aan te doen denk ik? Gewoon afwachten?

[ Voor 8% gewijzigd door MindStorm op 25-06-2013 21:30 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq