найти кто грузит сеть

2

3

есть веб сервер на центос7
nload на интерфейсе с ип сервера показывает стабильную большую входящую загрузку 25 мб\с
запускал nethogs, но он показывает другую общую скорость
плюс непонятные процессы такого формата
? root ип сервера:59212-104.25.27.103:80 0.280 15.793 KB/sec

перегружал сервер но сразу после ребута опять начинается скачивание
как найти виновника?

Ссылка

←	Disconnect при попытке запуска скрипта с KS Host monitoring. CentOS 7

мониторинг log файлов в заббикс 3.0

→

netstat -nlpa | grep 59212

Deleted
(20.09.19 22:10:43 MSK)

Ответ на: комментарий от Deleted 20.09.19 22:10:43 MSK

не показывает имя процесса
выводит
tcp 0 0 мой ип:51930 67.219.147.82:80 TIME_WAIT -

kommersant ★★
(20.09.19 22:18:54 MSK) автор топика

Твой докер хакнули и теперь он качает биткойны

anonymous
(20.09.19 22:20:47 MSK)

Ответ на: комментарий от anonymous 20.09.19 22:20:47 MSK

или kvm

Deleted
(20.09.19 22:26:41 MSK)

Ответ на: комментарий от Deleted 20.09.19 22:26:41 MSK

если хакнули то как увидеть какой процесс качает?

kommersant ★★
(20.09.19 23:50:34 MSK) автор топика

Ответ на: комментарий от kommersant 20.09.19 23:50:34 MSK

Ты не говоришь что у тебя там крутится, виртуалки, контейнеры или еще что.

Deleted
(20.09.19 23:51:29 MSK)

Ответ на: комментарий от Deleted 20.09.19 23:51:29 MSK

крутятся сайты, без докеров

kommersant ★★
(20.09.19 23:55:36 MSK) автор топика

Ссылка

Ответ на: комментарий от kommersant 20.09.19 22:18:54 MSK

tcp 0 0 мой ип:51930 67.219.147.82:80 TIME_WAIT -

А много подобного нетстат показывает? Конкретно в данном случае что-то на твоём сервере подключилось к порту 80 (HTTP) сервера с айпишником 67.219.147.82 (где-то в США).

Если твои сайты должны сами подключаться куда-то ещё, то возможно это нормально. Если нет, то возможно твой сервак реально взломали (скорее всего через дыру в сайтах) и посадили бота, который пытается ломать другие сайты, DDoSит или занимается каким-нибудь другим подобным непотребством.

Deleted
(21.09.19 00:02:47 MSK)

Ответ на: комментарий от Deleted 21.09.19 00:02:47 MSK

nethogs показывает примерно 20-30 записей такого типа, но с разными удаленными ип
? root ип сервера:59212-104.25.27.103:80 0.280 15.793 KB/sec
причем большая часть не качает и у них 0 KB/sec
также сам кач идет не постоянный, то появляется то исчезают
при этом nload показывает стабильный входящий трафик 20 мб\с

что еще заметил- после ребута сервера nload сразу же показывает что идет скачивание
если я выключаю php-fpm или nginx то nethogs не показывает активую скачку, а nload показывает что скачивание не изменилось

kommersant ★★
(21.09.19 09:44:52 MSK) автор топика

Ответ на: комментарий от kommersant 21.09.19 09:44:52 MSK

iftop

Iftop

anonymous
(21.09.19 10:20:50 MSK)

Ответ на: iftop от anonymous 21.09.19 10:20:50 MSK

iftop показывает список ип
мне надо найти кто именно создает нагрузку на сеть

kommersant ★★
(21.09.19 10:34:24 MSK) автор топика

Ответ на: комментарий от kommersant 21.09.19 10:34:24 MSK

пытался использовать tcpdump, iftop,iptraf-ng но никто не показывает имена процессов

kommersant ★★
(24.09.19 10:41:27 MSK) автор топика

Ссылка

Что то вроде

lsof -i tcp:51930

yetanother ★★
(24.09.19 10:55:40 MSK)
Последнее исправление: yetanother 24.09.19 10:56:28 MSK (всего исправлений: 2)

Ответ на: комментарий от yetanother 24.09.19 10:55:40 MSK

ничего не выводит

kommersant ★★
(24.09.19 12:10:22 MSK) автор топика

ss -lntp?

skyman ★★★
(24.09.19 12:17:41 MSK)

Ответ на: комментарий от skyman 24.09.19 12:17:41 MSK

ss -lntp выводит список сервисов, которые запущены и слушают порты
в моем случае неизвестное приложение открывает порт 59212 и соединяется или пытается соединиться с 104.25.27.103 на порт 80
по крайней мере ss -lntp не показывает порты больше чем 11211

kommersant ★★
(24.09.19 12:43:02 MSK) автор топика

Ссылка

Ответ на: комментарий от kommersant 24.09.19 12:10:22 MSK

От рута надо запускать, на всякий случай. Ну и понятно с актуальным значением порта.

yetanother ★★
(24.09.19 12:44:43 MSK)

Ответ на: комментарий от yetanother 24.09.19 12:44:43 MSK

конечно я запускал под рутом ss -lntp|grep 58658 но ничего не показало

вот что еще нагуглил
https://unix.stackexchange.com/questions/91055/how-to-tell-if-mysterious-prog...
https://askubuntu.com/questions/401197/how-can-i-close-a-root-process-unknown...
https://superuser.com/questions/771499/nethogs-not-helping-understanding-susp...

kommersant ★★
(24.09.19 12:52:53 MSK) автор топика

Ответ на: комментарий от kommersant 24.09.19 12:52:53 MSK

Я имел в виду `lsof`. Например у меня под рутом она показывает все процессы кто сидит на заданном порту:

user@user sudo lsof -i tcp:80
COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2  1015     root    4u  IPv6   2042      0t0  TCP *:http (LISTEN)
apache2 24448 www-data    4u  IPv6   2042      0t0  TCP *:http (LISTEN)
apache2 24449 www-data    4u  IPv6   2042      0t0  TCP *:http (LISTEN)
apache2 24450 www-data    4u  IPv6   2042      0t0  TCP *:http (LISTEN)
apache2 24451 www-data    4u  IPv6   2042      0t0  TCP *:http (LISTEN)
apache2 24452 www-data    4u  IPv6   2042      0t0  TCP *:http (LISTEN)

тебе же нужен pid процесса, который поддерживает заданное TCP соединение, правильно? Без рута `lsof` ничего не выведет

yetanother ★★
(24.09.19 13:02:14 MSK)

Ответ на: комментарий от yetanother 24.09.19 13:02:14 MSK

[root@localhost ~]# lsof -i tcp:35014
[root@localhost ~]#

пусто

kommersant ★★
(24.09.19 13:14:24 MSK) автор топика

Ответ на: комментарий от kommersant 24.09.19 13:14:24 MSK

Хмм, а статус соединений `TIME_WAIT` у всех? Это уже практически завершенные соединения, которые отвалятся по таймауту

yetanother ★★
(24.09.19 13:23:57 MSK)
Последнее исправление: yetanother 24.09.19 13:24:15 MSK (всего исправлений: 1)

Ответ на: комментарий от yetanother 24.09.19 13:23:57 MSK

почти у всех кому делаю греп по портам из nethogs показывает TIME_WAIT

kommersant ★★
(24.09.19 13:42:08 MSK) автор топика

Ответ на: комментарий от kommersant 24.09.19 13:42:08 MSK

почти у всех кому делаю греп по портам из nethogs показывает TIME_WAIT

Я не авторитет в этих делах, но по этим соединениям трафика быть не должно, так как это завершенные соединения и просто не факт что еще живой тот процесс что породил их, поэтому lsof и не показывает ничего. Просто (как я понимаю) tcp стек ядра держит эти локальные порты занятыми чтобы новый процесс не получил данные, предназначенные для старого процесса. Я бы в качестве подозрительных процессов поискал все-таки активные соединения.

yetanother ★★
(24.09.19 13:56:41 MSK)

Ответ на: комментарий от yetanother 24.09.19 13:56:41 MSK

как искать?
все что есть запускал, ничего не помогает
nload на внешний ип постоянно показывает большой входящий траф

kommersant ★★
(24.09.19 16:36:38 MSK) автор топика

Ответ на: комментарий от kommersant 24.09.19 16:36:38 MSK

iftop тоже ничего не дает?

yetanother ★★
(24.09.19 17:46:20 MSK)

Ссылка

[viper@viper-manjaro ~]$ yaourt -Ss nettop
community/jnettop 0.13.0-6
    A top-like console network traffic visualizer

vvviperrr ★★★★★
(24.09.19 17:56:52 MSK)

Ответ на: комментарий от vvviperrr 24.09.19 17:56:52 MSK

думаю все софтины используют одну и ту же информацию о процессах.
если nethogs не показывает кто это, то и остальные скорее всего ничем не помогут.

Deleted
(24.09.19 18:00:06 MSK)

Ответ на: комментарий от Deleted 24.09.19 18:00:06 MSK

jnettop не показывает инфу о процессах, он работает через libpcap. через него можно узнать, через какой порт сильнее грузится сеть, потом уже нетстатом смотреть, кто на нем сидит.

пс. посмотрел, nethogs так же работает. ну хз :)

vvviperrr ★★★★★
(24.09.19 18:12:32 MSK)
Последнее исправление: vvviperrr 24.09.19 18:14:35 MSK (всего исправлений: 2)

Ответ на: комментарий от vvviperrr 24.09.19 18:12:32 MSK

так вот нетстат и не говорит что за процесс. как-будто портом пользуются из kvm или докера, либо ещё какой-то дофига привилегированный процесс.

Deleted
(24.09.19 18:27:20 MSK)

Ссылка

Ответ на: комментарий от kommersant 21.09.19 10:34:24 MSK

В iftop нажми p увидишь порты которые используются

anonymous
(25.09.19 10:58:56 MSK)

Ссылка

включаем нетворкинг в кониге системд и см трафик по сигруппам

anonymous
(25.09.19 11:13:37 MSK)

Ссылка

плюс непонятные процессы такого формата

? root ип сервера:59212-104.25.27.103:80 0.280 15.793 KB/sec

У вас руткит, пора переустанавливать центос.

anonymous
(25.09.19 11:20:33 MSK)

Ссылка

`lsof -i` покажи вывод полный после отключения сайтов

anonymous
(25.09.19 11:28:15 MSK)

Ответ на: комментарий от anonymous 25.09.19 11:28:15 MSK

стопанул httpd, nginx, php-fpm
вот что выводит. ssh это мое подключение
https://justpaste.it/5783a

kommersant ★★
(25.09.19 13:51:31 MSK) автор топика

Ответ на: комментарий от kommersant 25.09.19 13:51:31 MSK

Включаешь монитор скорости и по одному вурубаешь перечисленные сервисы. Как только трафик остановится - попал в точку.

hakavlad ★★★
(25.09.19 14:31:58 MSK)

Ответ на: комментарий от hakavlad 25.09.19 14:31:58 MSK

не помогло
вот что не смог остановить
master
cache-mai
smtpd
local

kommersant ★★
(25.09.19 15:09:45 MSK) автор топика

Ответ на: комментарий от kommersant 25.09.19 15:09:45 MSK

будут еще идеи?

kommersant ★★
(26.09.19 10:49:55 MSK) автор топика

Ответ на: комментарий от kommersant 26.09.19 10:49:55 MSK

lsof и tcpdump, netstat, fstat твои друзья в таких вопросах.

Проверь ещё ssh на предмет открытого прокси. У меня был инцидент с anoncvs, когда я забыл выключить форваринг для юзверя.

#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

beastie ★★★★★
(26.09.19 11:36:48 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Disconnect при попытке запуска скрипта с KS Host monitoring. CentOS 7

Admin

мониторинг log файлов в заббикс 3.0

→

iftop

Похожие темы