DDoS oder was?

Sagt mal, wie kann man denn den Netzwerk-Traffik sicher aufzeichnen und auswerten? Bzw. nachträglich aufspüren? Habe heute eine Mail von meinem Hoster bekommen und war, nachdem ich die schon gelöscht hatte, doch sehr erschrocken, also wiederhergestelt. Die Mail ist der Traffik bis zum aktuellen Tag im Monat, also eine, die man 10 Jahre lang für alle Server bekommt und irgendwann einfach nur noch überfliegt.

Heute aber... Aktuell genutzt: 3,7 TB.

Bitte? 3,7 TB... Das waren immer GB.... bei einem Server, der nur Webserver ist und vielleicht 20 Bilder hat? Normalerweise hat der Server an die 0,8 bis 1,2 GB im Monat, komplett, eingehend und ausgehend. Selbst mein Fileserver, der mehr als 100.000 Bilder ausliefert, kommt nur auf ca. 400GB.

So, also ab ins Controlpanel, Netzwerkauslastung angesehen und einen Schock bekommen. In der Tat, da läuft was komisches. Begonnen so ca. Mittag vom 16.1. Seit dem ansteigend, manchmal auch fallend, Tendenz aber steigend. Heute waren es alleine 180GB an eingehenden Traffik. gestern 260, vorgestern 190. Also, ab auf den Server. Top angesehen, alles normal. Serverauslastung, normal. htop installiert, ja Alex, dieses bunte Teil, nichts entdeckt. Dann iftop installiert, auch nichts gefunden. Wollte dann einen tcpdump machen, dann war der Spuk vorbei.

Nur, ich finde rein gar nichts. Es wird ja alles geloggt, also muss doch irgendwo was zu finden sein, ein Log, das extrem groß ist oder so. Aber nichts.... Die Logs sind alle normal.

Hat einer einen Tipp?

Als Anmerkung: Ladezeit der Seiten. Eine war extrem schlecht, weit über 40 Sekunden, die anderen aber weiterhin bei unter 1 Sekunde. Verstehe ich irgendwie auch nicht wirklich, ist ja der gleiche Webserver.

Nee Alex, sehe in den Logs leider gar nichts. Dachte ja, da müssten welche sein die riesig sind, aber nee. Und auch gestern, genau an der Stelle wo der Spuk vorbei war war nichts zu entdecken. Ich meine, wenn man vorher mit 35MBit beschossen wird (eingehend) und danach dann regulär wieder um die 500KBit sind, dann sollte man ja was sehen können. Aber nein. Und im iftop war auch nichts zu erkennen. Der Einzige, der mich da mit maximal 400KB befeuert hat war mein eigener Datenbankserver, also normal. Wo aber die restlichen 34,6MBit sein sollen, keine Ahnung.

Jetzt aktuell habe ich auch wieder was drauf, aber ganz minimal, das kann schon immer gewesen sein. Kommt aus Russland, Griechenland, Belgien, Ungarn und einem deutschen Server. Zusammen sind das aber nur 60KBit/sek, die die da senden, also kein Problem.

FTP ist nicht drauf, nur SSH.

Es läuft SSH, Apache, Postfix, Dovecot, MySQL, mehr nicht.

Hm, bin einen Schritt weiter, naja, nicht wirklich, aber die Richtung kenne ich jetzt wohl, oder vielleicht. War gerade als Hausmeister wieder mal Stunden weg und kaum zurück, kam eine Mail von der Abuse-Abteilung, dass mein Server geblacklistet wurde. Grund: "Ihr Server ist aufgrund zu vieler Anfragen an unseren DNS-Server aufgefallen".

Das könnte natürlich auch der hohe eingehende Traffik sein, nur ein Log für DNS-Anfragen habe ich nicht, oder doch? Wo wäre das denn?

P.S: ich nutze kein Bind!

So, wieder einen Schritt weiter. Ich Depp müsste mich erschießen, aufhängen und dann von einer Klippe schmeißen .... Ich hatte einen offenen DNS-Port und somit einen OpenDNS am Laufen und das seit ca. 4 Wochen :wall:

Das ganze nur, weil ich diese ständigen Timeouts aus dem anderen Thread umgehen wollte, was aber nichts brachte, daher der andere Thread. Installiert hatte ich das schon vorher und weiß der Geier, 30 oder 40 Dokumentationen zu gelesen, auch direkt von Debian und Ubuntu!

Was lernt man daraus? Eigentlich nichts neues, nur das, was man eigentlich schon weiß. Verlasse Dich NIE auf andere und prüfe alles 10x nach :grummel: In keiner Doku, noch nicht mal im der man vom Paket oder in der sehr ausführlich beschriebenen config-Datei steht, dass man mit der Installation sofort einen öffentlichen DNS-Forwarder laufen hat, mit keinem einzigen Wort. Dass der öffentlich kann wusste ich. Da das aber keiner schreibt, dass er es sofort ist, ging ich schlicht davon aus, dass der wie alle erst mal sehr strikt per default eingestellt ist und man das per Config erweitern kann. Nein! Man muss es per Config minimieren. :diablo:

Und ja, für die unbekannten Probleme und Dienstausfälle bin ich wohl teilweise mitverantwortlich, zumindest hörte sich die letzte Antwort so an, auch die, die eine andere Nutzerin bekommen hat. Kannst Dir ja ausrechnen, wie viele Anfragen das gewesen sein müssen, wenn da durchschnittlich 30MB/s durchliefen...... Syno macht Hoster kaputt ..... :kilroy:

Ja, hast leicht lachen... Tippe nun schon seit einer Stunde an der Mail für die Abuse-Abteilung. Mensch, das habe ich schon oft gemacht, aber nicht wegen mir als Störfaktor ... :cry::autsch:

So, Mail ist raus..... Ist aber schon erschreckend und irgendwie erstaunlich... Man beachte mal die Zeiten, in denen die DNS-Anfragen raus gingen, bzw. die Abstände...

08:58:00.738297
08:58:00.738330
08:58:00.738406
08:58:00.738411
08:58:00.738414
08:58:00.738417
08:58:00.738420
08:58:00.738423
08:58:00.738427
08:58:00.738429
08:58:00.738431
08:58:00.738459
08:58:00.738462
08:58:00.738464
08:58:00.738466
08:58:00.738468
08:58:00.738469

Dagegen ist Formel1 eine Schnecke.

Wenn ich dann aber bedenke, dass bei FB so viele sind, die von nicht funktionierend DNS schreiben, keinen Seitenaufbau, keine Verbindung zu internen Diensten etc, dann, ich glaube ich brauche ein :beer:, ne, doch lieber ein *** Link veraltet ***, oder ein Bier im Grab, nennt sich dann Dunkles oder wie ?