У меня есть небольшой веб-сервер, работающий на Lighttpd 1.4, который постоянно использует пропускную способность 250 ГБ или меньше в течение последних нескольких месяцев. Но с мая посещаемость выросла более чем втрое. На моем сайте не было ничего особенного, чтобы сделать его таким популярным. Когда я проверил с помощью vnstat, я обнаружил, что 70% пропускной способности - это tx. Я подозреваю, что меня взломали, и мой веб-сервер превращается в своего рода бот. ClamAV выходит ни с чем, и я уже заменил установку Joomla на новую в начале июня. Но сейчас трафик остался прежним.
Мой вопрос: как я могу контролировать свой сервер и смотреть, что передает все эти данные? Мне нужно сделать, чтобы определить, в чем виноват.
Может кто-нибудь указать правильный способ решить эту проблему? Спасибо.
я использовал ntop и это позволило мне (довольно) необычным способом отслеживать каждое соединение. netstat еще один отличный инструмент (netstat -untap могу помочь вам на этом пути).
Несколько вещей, которые стоит попробовать:
Использовать netstat -nltp показать процессы прослушивания. Ищите все, что вы не узнаете или что-то нелегальное.
Использовать iftop -i <interface> чтобы узнать, кто такие удаленные узлы, которые используют наибольшую пропускную способность.
Использовать tcpdump -pnn -i <interface> <host> чтобы определить, какой порт использует нарушитель. Сравните это с netstat полученные результаты.
Когда вы найдете несколько хостов, которые хотите уничтожить соединения, используйте следующее:
iptables -A INPUT -s <ip.ad.dr.es> -j DROP
Если вы хотите удалить это правило iptables, используйте следующее:
iptables -D INPUT -s <ip.ad.dr.es> -j DROP
Будьте очень осторожны, чтобы не отфильтровать своя Айпи адрес!
Удачи!
Я работаю в компании по мониторингу сети, и наше решение позволит вам отслеживать трафик, исходящий с вашего веб-сервера, и точно диагностировать, что происходит.
Однако похоже, что вы уже знаете, что на вашем сервере что-то взломано. Я предлагаю полностью заблокировать ваш сервер и начать заново. Вы никогда не можете доверять скомпрометированному серверу.
Я не уверен в каких-либо бесплатных решениях для мониторинга сетевого трафика, которые дадут вам хорошее визуальное руководство относительно того, что происходит. Я провел маркетинговые исследования в своей области.