LINUX.ORG.RU
ФорумAdmin

Трафик HELP


0

0

Поднимаю подобную тему уже второй раз, уж не знаю чего делать.

Стоит на сервере Squid, к нему прекручен STC анализатор, все устраивает, еще настроен нат на ICQ и майл агента, у провайдера, не всегда, примерно раз в неделю получается больше трафик на моем IP при чем набегает практически за один час в субботу около 2ГБ и вчера теперь тоже около 2 ГБ. Может это вирус кокой-нибудь? Что делать, как узнать?

Ответ на: комментарий от CheGev80

А если поставить между сервером и провайдером ещё один комп, как раз для мониторинга каждого пакета от и до провайдера?

manntes ★★
()
Ответ на: комментарий от CheGev80

ну блин, трафик ната считать в froward цепочке iptables, трафик от сквида считать в --match owner --uid-owner <squid uid> (она естественно в первой должна идти), остальное посчитаете по другим правилам. без текущей конфигурации iptables нет смысла писать что вам нужно дописать

borisych ★★★★★
()
Ответ на: комментарий от CheGev80

Почему не вариант? Самое надёжное и не подверженное сторонним воздействиям (кривые руки, руткиты) решение.

manntes ★★
()
Ответ на: комментарий от manntes

Ну во первых это замедлит работу, во вторых, у меня еще несколько серваков с прямыми IP.

Был у меня примерно такой случай несколько месяцев назад, но тогда дело касалось Sendmail, сделал заявку на раследования к провайдеру, они мне ответили что с нашего ИП наблюдается вирусная активность, очень много запросов на различные ИП. RootKit показал `find'... INFECTED

и Warning: Possible LKM Trojan installed вот это. Тоже самое на этом серваке показывает.

Может каким-нибудь антивирусом проверить?

Или как написать например правило, что б ограничевало, например трафик за сутки?

CheGev80
() автор топика
Ответ на: комментарий от CheGev80

>во первых это замедлит работу

пинг немного вырастет, и всё

>Warning: Possible LKM Trojan installed вот это. Тоже самое на этом серваке показывает.


Эээ, а избавиться от трояна чем не подходит? Сие куда полезнее будет, чем трафик ограничивать.

manntes ★★
()
Ответ на: комментарий от manntes

А как от него избавиться, кто бы подсказал?

Я уже спрашивал на форуме, никто толком не ответил!

Попробовал rkhunter он ничего не нашел!

CheGev80
() автор топика
Ответ на: комментарий от CheGev80

Есть только один кошерный способ избавиться от руткита: сделать бэкап конфигов и поставить систему с нуля. При этом подумать, где была дырка, и повысить безопасность.

manntes ★★
()
Ответ на: комментарий от CheGev80

Warning: Possible LKM Trojan installed может появляться в случае, если в процессе проверки какие-то процессы запустились и померли в процессе проверки - стоит остановить нагруженные сервисы, плодящие процессы и проверить еще раз. У меня было именно так.

NowhereMan
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.