Я тут подумал, может без меня на серваке 10.07.2006 три демона Squid запустили?
Такое возможно?

squid не единственный потребитель трафика. поэтому считать только squid-ом не вполне правильно.

а так инфы маловато для размышления, все предложенные тобой варианты правдоподобны.

пока могу только спросить: насколько корректно настроен iptables и форвардинг.

если только pid файл squida 2 раза умудрились убить или, назначили 3 раза ему другое мксто положения - может быть и такое, правда не помню в федоре как, но вроде при стандартном запуске скрипт не только наличие pid файла проверяет

Re:

вообще-то три копии сквида - это вряд ли - первая займет порт 3128 , остальные не смогут и вывалятся при старте с руганью. более вероятно что кто-то изнутри поимел тебя в обход сквида. на сервере траффик как считается ?

>Я тут подумал, может без меня на серваке 10.07.2006 три демона Squid запустили? И все трое сели на один порт, стали скопом инфу качать? :-/

Что разрешено для нат-а? Где ходит почта и как считается? Попросить подробную расшифровку трафа от прова?

Энивей, сквид не в состоянии три раза забиндить один и тот же порт. Статистика по пользователям включает в себя только парсинг сквидового лога? Имхо, кто-то с битторента накачал порнухи.

Да могли хоть и 10 копий squid-а запустить. Если кто-то смог залезть на сервер, ничто ему не мешало скопировать squid.conf в нужное место (в /tmp), подправить как надо (поменять порт, списки доступа) и запустить еще одну копию squid-а. Для этого даже root-а иметь не нужно.
Я думаю тут больше вопрос в том, лазил ли кто-то руками на сервере (правил конфиги, firewall, запускал левые proxy, ...) или нет. Если да, то могли сделать все, что угодно, открыть доступ чему угодно. К примеру, даже банальное "iptables stop" могло привести к тому, что в inet начал сыпаться трафик с виндовых тачил, пусть даже только исходящий (NAT ведь выключен), все равно трафик.
Еще не исключен вариант, что трафик создан кем-то извне: например, если у вас что-то расшарено наружу через web, ftp, mail, ... - могли качать, почту слать.
Одним словом, я думаю, в первую очередь нужно смотреть логи (искать подозрительные вещи, смотреть когда кто логинился, запустить тест на rootkit-ы, ...), посмотреть какой трафик преобладает (in/out, с каких на какие порты), торбить тех, кто имеет какое-то отношение к серверу (account, физ. доступ).

Хотелось бы увидеть содержимое скрипта для настройки iptables

Ребята, спасибо всем высказавшимся.
Вместо того, чтобы пулять в И-нет неподготовленные сообщения, пока сам решил поискать беды в своем отечестве. Если потребуется консультация Гуру - спрошу...

Пока пролопатил логи messages - вроде левых входов в систему под root-ом не было... Хотя пароль ИМХО неудачно пытались подобрать с 2-х разных IP-шников. Но это, наверное, всем серверам приходится испытывать?

Сейчас попробую проанализировать логи squid и mail... Кстати, левых squid.conf в системе не нашел...

Впрочем, искать хакера в системе - дело неблагодарное. Опытный хакер ИМХО так за собой подметет, что ничего не найдешь...

Пока склоняюсь, что неверные действия 10.07.06 были сотворены моим помощником, который linux (unix) совсем не знает. Мне приказали дать ему пароль root-а "на всякий случай, если со мной что случится".

Остается только понять, что он сотворил...

Если уйдёт в полный отказ, то с учётом "linux (unix) совсем не знает" - смотреть логи сквида за то число, какие линукс-форумы посещались в тот день, идти туда и смотреть темы, созданные в тот день. :)

Вот кстати еще вспомнил, пару месяцев назад был у меня случай, когда нужно было поиметь порты отличные от 3128 через прокси. Ибо держатель домовой сети не хотел открыть ssh, к примеру, для меня. Есть н7есколько прог, которые чудесно это делают через прокси. Правда у того человека usergate стоял на оффтопике, но и через squid думаю это можно. Тож же тотал командер и far с плагином прекрасно это умеют - бегать на ftp через прокси

сорри, забыл, что хотел сказать еще - так вот, в логаг гейта числилась информация только по просмотру мной страничек браузером, а то что я раз пять архивы портов freeFSD качал (каждый приблизительно 42 МБт) нигде не отражалось :) Впрочем у меня unlim :)

а у тебя считалка учитывает трафик, который приходит непсоредственно на внешний адрес сервера, но iptables дает ему отлуп(дроп реджект или еще что)? если нет, то возможен вариант что тебя просто зафлудили, но у тебя это никак не посчиталось. В этом случае только идти к провайдерскому админу на поклон, брать у него полный лог трафика за эти дни, и парсить,парсить,парсить :-)