У меня есть VPS с установленным Ubuntu 12.04 с лимитом 35 ГБ каждый месяц (больше, чем использовалось, и я должен платить). Обычно я использую его с Zpanel для размещения веб-сайта Joomla и оставляю почтовые порты закрытыми. FTP отсутствует, и я настроил специальный порт для SSH и заблокировал сканирование портов.
Примерно день назад я заметил, что используемая полоса пропускания резко выросла до исходящей отметки 3 Гб за очень короткий промежуток времени, а затем вверх и вниз в течение примерно 2-3 часов. Я остановил службу apache2, чтобы убедиться, что это больше не повторится. Я посмотрел на используемую сегодня полосу пропускания и увидел, что она увеличилась до более чем 1 Гб исходящего трафика за несколько минут, с небольшими всплесками использования высокой пропускной способности в течение нескольких часов.
Хорошо, теперь (10.10.14) я замечаю, что большой трафик с порта 48334 очень быстро попадает в кучу, казалось бы, случайных портов на другом IP-адресе в Калифорнии. Пока это обходится мне примерно в 6,5 ГБ за короткий промежуток времени, около часа. Это происходит, когда Apache2 снова включен.
Мой главный вопрос: как ограничить полосу пропускания, используемую каждым подключением, чтобы предотвратить такие огромные скачки?
Мой второй вопрос: что может быть причиной этого, даже если у меня остановлен apache2 и нет открытых почтовых портов или FTP? Я только что установил IPTraf и настроил его для мониторинга и регистрации трафика.
В ZPanel 10.1.0 есть эксплойт безопасности, позволяющий использовать сервер как часть ботнета DDOS. Вот почему сервер демонстрировал такую странную активность, как показано в вопросе, а также другие проблемы, включая проблемы с SQL, не упомянутые в вопросе. Лучший способ решить эту проблему, поскольку она уже была взломана, - это полностью начать заново и не устанавливать небезопасную версию ZPanel.
Источники: https://chunkhost.com/blog/16%2Fhuge_security_hole_in_zpanel_10_1
http://blog.0xlabs.com/2014/zpanel-10-1-0-unauthenticated-remote-root/