- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
С недавнего времени на сервере, точнее на одном из айпишников соотношение входящего исходящего стало 1:1. На другом IP все нормально, 1:7 примерно, работают такие же по структуре сайты.
Поставил программу iftop, там проскакивают значения:
server => turizm.ru 33.7KB
<= 553KB
server => srv016.infobox.ru 20.8KB
<= 293KB
То есть видно что от меня уходит гораздо меньше трафика чем возвращается. Как будто с моего сервера я загружаю информацию с других сайтов. Но такого не может быть, никаких парсеров и прокси на сервере нет.
Как можно более детально расшифровать что за скрипт генерирует эти запросы?
tcpdump -i <внешний интерфейс> -n dst host srv016.infobox.ru
Вот так можно посмотреть.
Там будет указан сорс порт.
Потом netstat -n и посмотреть какой софт на этом порту сидит.
А можно подробнее что означают эти данные?
По команде
# tcpdump -i fxp0 -n dst host 64.124.222
Выдается что-то типа:
22:06:21.328263 IP 89.108.*.*.55404 > 64.124.222.*.80: R 1260858823:1260858823(0) win 0
22:06:21.510952 IP 89.108.*.*.55477 > 64.124.222.*.80: P 34:57(23) ack 1 win 33304 <nop,nop,timestamp 114249412 2049869011>
По команде netstat -n выводит:
tcp4 47247 0 89.108.*.*.62206 64.124.222.*.80 CLOSE_WAIT
tcp4 0 0 89.108.*.*.62651 64.124.222.*.80 ESTABLISHED
tcp4 0 0 89.108.*.*.62649 64.124.222.*.80 ESTABLISHED
Для меня это китайская грамота, подскажите подажуйста куда смотреть
может, руткит какой затесался...
antono,
можно ещё так попорбовтаь
netstat -antp
думаю поймёте к чему я это... если конечно система показывает запущенные процессы.
antono,
можно ещё так попорбовтаь
netstat -antp
думаю поймёте к чему я это... если конечно система показывает запущенные процессы.
Не работает, выводит помощь к этой команде.
Если это FreeBSD, то попробуйте sockstat | grep 62651 (и другие попробуйте)
Эта утилита показывает что именно слушает на этом порту
Тогда уж лучше lsof -i
Если это FreeBSD, то попробуйте sockstat | grep 62651 (и другие попробуйте)
Эта утилита показывает что именно слушает на этом порту
Да, freebsd
# sockstat | grep 64456
root tcpdump 23749 5 udp4 89.108.*.*:64456 89.108.90.*:53
Что-то вообще мало информации в этом ответе.
Тогда уж лучше lsof -i
# lsof -i
lsof: Command not found.
Давайте сюда полный вывод sockstat, сейчас отловим багов =)
Есть еще вероятность, что это выполняется какой-то программой, запускаемой по крону.
покажите вывод crontab -l
cat /etc/crontab
Давайте сюда полный вывод sockstat, сейчас отловим багов =)
Там много очень, несколько экранов, начало:
# sockstat
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
mail exim 57975 4 udp4 89.108.*.*:63904 89.108.90.129:53
mail exim 57975 5 tcp4 89.108.*.*:25 82.83.160.243:52952
mail exim 57975 6 tcp4 89.108.*.*:25 82.83.160.243:52952
mail exim 57974 5 tcp4 89.108.*.*:25 85.107.214.247:53463
mail exim 57974 6 tcp4 89.108.*.*:25 85.107.214.247:53463
apache httpd 57970 4 tcp4 89.108.*.*:80 83.149.32.58:50666
apache httpd 57970 206tcp4 *:443 *:*
apache httpd 57970 207tcp4 *:80 *:*
apache httpd 57969 4 tcp4 89.108.*.*:80 38.99.13.124:34828
apache httpd 57969 5 tcp4 89.108.*.*:57157 81.176.230.176:80
apache httpd 57969 206tcp4 *:443 *:*
...................................................................
конец:
mysql mysqld 639 195stream /tmp/mysql.sock
mysql mysqld 639 208stream /tmp/mysql.sock
mysql mysqld 639 236stream /tmp/mysql.sock
nobody directadmi 603 0 tcp4 *:2222 *:*
root vm-pop3d 569 0 tcp4 *:110 *:*
mail exim 534 3 tcp4 *:25 *:*
mail exim 534 4 tcp4 *:587 *:*
root sshd 389 3 tcp6 *:22 *:*
root sshd 389 4 tcp4 *:22 *:*
root syslogd 275 3 dgram /var/run/log
root syslogd 275 4 dgram /var/run/logpriv
root syslogd 275 5 udp6 *:514 *:*
root syslogd 275 6 udp4 *:514 *:*
root devd 257 4 stream /var/run/devd.pipe
Есть еще вероятность, что это выполняется какой-то программой, запускаемой по крону.
покажите вывод crontab -l
cat /etc/crontab
Нет, по крону точно ничего нет. Это самая первая мысль была, все скрипты по крону запускаемые давно отключены и сервер перезагружен чтобы уж точно убить все процессы левые.