форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум WEB технологии (Apache, http-серверы)
Изначальное сообщение		[ Отслеживать ]

"Apache неизвестный трафик "	+1 +/–
Сообщение от maxxch (ok) on 02-Сен-10, 11:09
Достался мне в наследство сервер(на дебиане) на работе от предыдущего админа с апачем и порядка 200 сайтами. Все бы хорошо но в 2 часа ночи исходящий трафик вырос до 815ти мегабит!!! Как определить какой из сайтов делает эту загрузку(если в данный момент), и если возможно определить кто это делал ночью(если уже нету этого трафика)?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Apache неизвестный трафик "	+/–
Сообщение от KarD_IO on 02-Сен-10, 12:18
в логах пишется 1. имя хоста 2. время 3. размер grep + небольшой скриптик
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 12:58
	>в логах пишется > >1. имя хоста > >2. время > >3. размер > >grep + небольшой скриптик да нету такого, в момент загрузки я определил на какой хост идет траффик, отключил в фаерволе его, а в логах на счет этой ip ни слова...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Apache неизвестный трафик "	+/–
	Сообщение от KarD_IO on 02-Сен-10, 13:03
	>[оверквотинг удален] >> >>2. время >> >>3. размер >> >>grep + небольшой скриптик > >да нету такого, в момент загрузки я определил на какой хост идет >траффик, отключил в фаерволе его, а в логах на счет этой >ip ни слова... Если 200 сайтов на одном сервере, значит это виртуальные хосты, в логи (http_access.log), обычно, пишется имя виртуального хоста, время обращения к нему, размер отдаваемого контента, и код завершения операции. Есть такое?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 13:36
	>[оверквотинг удален] >>> >>>grep + небольшой скриптик >> >>да нету такого, в момент загрузки я определил на какой хост идет >>траффик, отключил в фаерволе его, а в логах на счет этой >>ip ни слова... > >Если 200 сайтов на одном сервере, значит это виртуальные хосты, в логи >(http_access.log), обычно, пишется имя виртуального хоста, время обращения к нему, размер >отдаваемого контента, и код завершения операции. Есть такое? eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "- " "Jyxobot/1" да есть, но той ip что создавала траффик нигде нету, просканировал все логи.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Apache неизвестный трафик "	+/–
	Сообщение от KarD_IO on 02-Сен-10, 13:50
	>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "- > >" "Jyxobot/1" > >да есть, но той ip что создавала траффик нигде нету, просканировал все >логи. 217.31.54.140 - не оно?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 14:51
	> >>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "- >> >>" "Jyxobot/1" >> >>да есть, но той ip что создавала траффик нигде нету, просканировал все >>логи. > >217.31.54.140 - не оно? :) пишу же "просканировал все логи, нигде!!! нету" а тем более в этом примере ip если интересно 74.208.143.150
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	20. "Apache неизвестный трафик "	+/–
	Сообщение от дщдщ on 05-Окт-10, 17:35
	>>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "- >> >>" "Jyxobot/1" >> >>да есть, но той ip что создавала траффик нигде нету, просканировал все >>логи. > 217.31.54.140 - не оно?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

4. "mod_status"	+/–
Сообщение от bobr on 02-Сен-10, 13:19
http://httpd.apache.org/docs/2.2/mod/mod_status.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "mod_status"	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 13:49
	>http://httpd.apache.org/docs/2.2/mod/mod_status.html поставил, он конечно хорош, но не дает информации по трафику по хостам. так же если какой либо хост запустил питон скрипт который генерит его он тоже не видит.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Apache неизвестный трафик "	+/–
Сообщение от Nimdar (ok) on 02-Сен-10, 13:50
А с чего ты решил, что это именно апач, т.е. что трафик именно с 80 порта? Как насчёт варианта со скриптом на сервере, который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова туча вариантов. Тем более, что сервер "по наследству". Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще весь процесслист. Но особое внимание, повторяю, крону.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 14:52
	>А с чего ты решил, что это именно апач, т.е. что трафик >именно с 80 порта? Как насчёт варианта со скриптом на сервере, >который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова >туча вариантов. Тем более, что сервер "по наследству". >Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще >весь процесслист. Но особое внимание, повторяю, крону. вот об этом я и говорю, как проследить какой скрипт отдает в данный момент, и какой из хостов его хазяин, ведь юзвени сами их пишут и подгружают на сервак. а было бы вообще отлично если бы можно это сделать уже после того как...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Apache неизвестный трафик "	+/–
	Сообщение от Nimdar (ok) on 02-Сен-10, 15:14
	>[оверквотинг удален] >>именно с 80 порта? Как насчёт варианта со скриптом на сервере, >>который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова >>туча вариантов. Тем более, что сервер "по наследству". >>Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще >>весь процесслист. Но особое внимание, повторяю, крону. > >вот об этом я и говорю, как проследить какой скрипт отдает в >данный момент, и какой из хостов его хазяин, ведь юзвени сами >их пишут и подгружают на сервак. а было бы вообще отлично >если бы можно это сделать уже после того как... Ты не понял. Я имел ввиду, что соединение инициируется сервером, а не извне. И если это так, то смотреть нужно "в момент", после уже никак. man top man ps man netstat
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 15:26
	>[оверквотинг удален] >>данный момент, и какой из хостов его хазяин, ведь юзвени сами >>их пишут и подгружают на сервак. а было бы вообще отлично >>если бы можно это сделать уже после того как... > >Ты не понял. Я имел ввиду, что соединение инициируется сервером, а не >извне. И если это так, то смотреть нужно "в момент", после >уже никак. >man top >man ps >man netstat я понимаю, в top и ps я увижу процесс apache2 и все, ну максимум какая загрузка проца, но виртуал хост то не определю :( уже были до этого подобные случаи. Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Apache неизвестный трафик "	+/–
	Сообщение от Nimdar (ok) on 02-Сен-10, 15:45
	>[оверквотинг удален] >>man top >>man ps >>man netstat > >я понимаю, в top и ps я увижу процесс apache2 и все, >ну максимум какая загрузка проца, но виртуал хост то не определю >:( >уже были до этого подобные случаи. >Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что >все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным. Вот тебя заклинило. Попробуем с другой стороны. С какого порта шёл трафик?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 16:29
	>[оверквотинг удален] >> >>я понимаю, в top и ps я увижу процесс apache2 и все, >>ну максимум какая загрузка проца, но виртуал хост то не определю >>:( >>уже были до этого подобные случаи. >>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что >>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным. > >Вот тебя заклинило. Попробуем с другой стороны. >С какого порта шёл трафик? да вот не знаю я сейчас, обнаружил это коллега который теперь в отпуску. а шеф меня заставил расследовать то что было на графиках.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Apache неизвестный трафик "	+/–
	Сообщение от Nimdar (ok) on 02-Сен-10, 16:43
	>[оверквотинг удален] >>>уже были до этого подобные случаи. >>>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что >>>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным. >> >>Вот тебя заклинило. Попробуем с другой стороны. >>С какого порта шёл трафик? > >да вот не знаю я сейчас, обнаружил это коллега который теперь в >отпуску. >а шеф меня заставил расследовать то что было на графиках. Трафик исходящий или входящий? Где искать - см. выше, я уже писал. 1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант сойдёт). 2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет. 3. Что ещё? Ну-у, бекапы, например, на соседний сервер. 4. Злобные хацкеры слили все базы с сервера. 5. Кто-то по [s]ftp сливает/заливает файл(ы). и т.д.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	17. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 16:58
	>[оверквотинг удален] > >Трафик исходящий или входящий? >Где искать - см. выше, я уже писал. >1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант >сойдёт). >2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет. >3. Что ещё? Ну-у, бекапы, например, на соседний сервер. >4. Злобные хацкеры слили все базы с сервера. >5. Кто-то по [s]ftp сливает/заливает файл(ы). >и т.д. уже думал над этим траффик держался на 800мегабитах почти 4 часа, там не то что один сервер там полинтернета слить можно было, трафик только исходящий. просмотрел крон, там все чисто. но ведь это нужно и на том сервере иметь гигабит свободный чтобы загрузить.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Apache неизвестный трафик "	+/–
	Сообщение от Nimdar (ok) on 02-Сен-10, 17:11
	>[оверквотинг удален] >>1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант >>сойдёт). >>2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет. >>3. Что ещё? Ну-у, бекапы, например, на соседний сервер. >>4. Злобные хацкеры слили все базы с сервера. >>5. Кто-то по [s]ftp сливает/заливает файл(ы). >>и т.д. > >уже думал над этим >траффик держался на 800мегабитах почти 4 часа, там не то что один Это примерно 1.5 Тб. Почти гигабит и один айпишник - значит где-то "рядом". Вариант с бекапом всего и вся на другой сервер самый возможный, кмк. >сервер там полинтернета слить можно было, трафик только исходящий. >просмотрел крон, там все чисто. >но ведь это нужно и на том сервере иметь гигабит свободный чтобы >загрузить. А ты не думай за тот сервер, там может быть что угодно. Думай за свой и ищи. Просмотри _все_ логи сервака за те четыре часа, может что странное заметишь (хотя сомневаюсь). З.Ы. Сервер где стоит?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Apache неизвестный трафик "	+/–
	Сообщение от maxxch (ok) on 02-Сен-10, 17:21
	>[оверквотинг удален] >>сервер там полинтернета слить можно было, трафик только исходящий. >>просмотрел крон, там все чисто. >>но ведь это нужно и на том сервере иметь гигабит свободный чтобы >>загрузить. > >А ты не думай за тот сервер, там может быть что угодно. >Думай за свой и ищи. Просмотри _все_ логи сервака за те >четыре часа, может что странное заметишь (хотя сомневаюсь). > >З.Ы. Сервер где стоит? перерыл все логи, ничего необычного, да и тяжко рыть когда там 200 виртуалхостов крутятся. точно что не на соседние и даже не в своей АС, а ip вычислил он точно потому как сразу в фаерволе заблокировал и все стало на места. сейчас я вытер его из iptables так вроде не продолжается. Более на серваке кроме апача ничего нету так что особо и смотреть негде. Сервак стоит в 20минутах ходьбы от офиса в серверной
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	22. "Apache неизвестный трафик "	+/–
	Сообщение от Ilya Lihachev on 12-Дек-10, 09:52
	>[оверквотинг удален] >>>man netstat >> >>я понимаю, в top и ps я увижу процесс apache2 и все, >>ну максимум какая загрузка проца, но виртуал хост то не определю >>:( >>уже были до этого подобные случаи. >>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что >>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным. > Вот тебя заклинило. Попробуем с другой стороны. > С какого порта шёл трафик? Попробуйте awstats. Эта штука парсит логи апача, результат представляет очень красиво.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Apache неизвестный трафик "	+/–
	Сообщение от KarD_IO on 02-Сен-10, 16:47
	>уже были до этого подобные случаи. >Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что >все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным. lsof
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема