We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Étrange traffic sur mon serveur (Debian 8)


sloomy
10/06/2016, 12h46
Bonjour,

Avec iftop tu peux voir ce qui arrive sur ta machine ! tu verras comme cela si tu as des trucs bizarres.

Bruno

maltesefalcon
10/06/2016, 11h17
En fait quand je parle de paquets basiques, je parles de trucs genre zsh, ou des utilitaires du type unzip, htop etc etc....
Franchement je n'ai pas les connaissances nécéssaires en réseau pour savoir si c'est "normal", si vous me dites que rien n'a l'air étrange, et bien tant mieux. A l'heure actuelle, seule ma base de donnée ouvre son port, ainsi qu'SSH.
Je vais tout couper (sauf ssh) et on va voir ce que ca donne.

janus57
09/06/2016, 23h26
Bonjour,

ce serait pas de la résolution DNS (on vois les root server) à cause du bruit de fond de l'internet qui tape sur le port SSH par pure hasard ?

Sinon @nowwhat à raison le monitoring OVH n'est pas fiable (voir forum OVH), certaines personne ont des monitoring qui affiche plusieurs GB/s de consommé par leur serveur (ce qui n'est pas possible, mais c'est "normale" c'est un bug côté matériel).

Cordialement, janus57

sloomy
09/06/2016, 17h38
Bonjour,

Revenons a nos moutons ! C'est quoi pour toi des "paquets basic" ?
Question bête, si tu fermes tout sauf ssh ! tu as toujours les mêmes soucis ? (attention au monitoring d'OVH )

Cdlt
Bruno

maltesefalcon
09/06/2016, 11h24
Hello,

Alors le truc c'est que je peux pas trop faire ce que tu me conseilles avec test-domaine, car j'ai pas d'apache sur mon serveur, rien....
Ou alors j'ai pas pigé.

En effet je regarde les stats via le traffic manager d'ovh :

Screen1
Screen2

Maintenant voila la sortie d'un iftop :

Iftop screen

Merci pour ton aide

nowwhat
08/06/2016, 11h22
Citation Envoyé par maltesefalcon
...... Quand je regarde mon traffic il ne s'arette jamais, et est toujours hyper élevé.
Ton traffic, ça s’affiche où ?
Dans le Manager de ton KS ? (un outil très peu fiable ....)
Les vrai stats, il faut le produre soi-même : exemple https://www dot test-domaine dot fr/munin/papy-team.org/www.papy-team.org/index.html#network
Possible que tu nous montre ça ?


PS : un copie TXT de la sortie 'iftop'. ca l'air impressionnant, mais ça me dit que mon serveur ne br*nle pas une en ce moment :

Code:
                                       1.91Mb                                 3.81Mb                                  5.72Mb                                 7.63Mb                            9.54Mb
mqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqvqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
mail.test-domaine.fr                                                                 => jvc-4-61-154-195.prateadoarts.com.br                                                   656b   25.0Kb  15.8Kb
                                                                                     <=                                                                                        672b    990b    828b
mail.test-domaine.fr                                                                 => 61.113.16.109.rev.sfr.net                                                              656b   1.19Kb   968b
                                                                                     <=                                                                                        672b   24.5Kb  15.5Kb
ns311465.ip-188-165-201.eu                                                           => 192.82.134.30                                                                         5.11Kb  3.64Kb  2.28Kb
                                                                                     <=                                                                                       28.7Kb  18.8Kb  11.7Kb
mail.test-domaine.fr                                                                 => mail.tsviewer.com                                                                        0b   13.6Kb  8.50Kb
                                                                                     <=                                                                                          0b   1.38Kb   885b
mail.gertjan.ovh                                                                     => 2001:500:127::30                                                                      1.77Kb  2.80Kb  2.08Kb
                                                                                     <=                                                                                       7.65Kb  12.0Kb  8.90Kb
mail.gertjan.ovh                                                                     => sns-pb.isc.org                                                                        4.62Kb  1.79Kb  1.85Kb
                                                                                     <=                                                                                       27.4Kb  9.95Kb  10.2Kb
mail.gertjan.ovh                                                                     => 2001:500:14:6050:ad::1                                                                3.87Kb  2.10Kb  1.59Kb
                                                                                     <=                                                                                       21.1Kb  9.30Kb  7.14Kb
ns311465.ip-188-165-201.eu                                                           => 204.61.216.50                                                                         1.55Kb  1.43Kb  1.46Kb
                                                                                     <=                                                                                       10.5Kb  9.30Kb  8.14Kb
ns311465.ip-188-165-201.eu                                                           => ABordeaux-653-1-488-217.w90-50.abo.wanadoo.fr                                         7.80Kb  8.61Kb  10.0Kb
                                                                                     <=                                                                                        160b    192b    314b
ns311465.ip-188-165-201.eu                                                           => pri.authdns.ripe.net                                                                  3.16Kb  1.07Kb  1.11Kb
                                                                                     <=                                                                                       19.1Kb  7.62Kb  7.51Kb
ns311465.ip-188-165-201.eu                                                           => f.in-addr-servers.arpa                                                                1.47Kb  1.14Kb   955b
                                                                                     <=                                                                                       7.71Kb  6.36Kb  5.19Kb
mail.gertjan.ovh                                                                     => pri.authdns.ripe.net                                                                  3.72Kb  1.25Kb  1.28Kb
                                                                                     <=                                                                                       17.0Kb  5.66Kb  6.61Kb
mail.gertjan.ovh                                                                     => pri.authdns.ripe.net                                                                  1.93Kb  1.29Kb  1.08Kb
                                                                                     <=                                                                                       8.43Kb  5.50Kb  4.65Kb
mail.gertjan.ovh                                                                     => pri.authdns.ripe.net                                                                  2.23Kb  1.06Kb   970b
                                                                                     <=                                                                                       11.5Kb  4.91Kb  4.25Kb
ns311465.ip-188-165-201.eu                                                           => 193.0.9.2                                                                             1.95Kb   913b    852b
                                                                                     <=                                                                                       9.72Kb  4.27Kb  4.08Kb
mail.gertjan.ovh                                                                     => d.root-servers.net                                                                       0b    522b    326b
                                                                                     <=                                                                                          0b   4.45Kb  2.78Kb
mail.gertjan.ovh                                                                     => pri.authdns.ripe.net                                                                   596b    958b    700b
                                                                                     <=                                                                                       1.75Kb  3.91Kb  3.00Kb
mail.gertjan.ovh                                                                     => ddns2.ariservices.com                                                                 1.99Kb   721b    450b
                                                                                     <=                                                                                       15.0Kb  4.03Kb  2.52Kb
ns311465.ip-188-165-201.eu                                                           => 193.0.9.10                                                                            1.27Kb   656b    574b
                                                                                     <=                                                                                       4.96Kb  3.57Kb  3.15Kb
mail.gertjan.ovh                                                                     => pri.authdns.ripe.net                                                                  2.66Kb   788b    492b
                                                                                     <=                                                                                       11.5Kb  3.24Kb  2.03Kb

qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
TX:             cum:    165KB   peak:    161Kb                                                                                                                       rates:   75.3Kb  99.7Kb  82.4Kb
RX:                     478KB            310Kb                                                                                                                                 310Kb   269Kb   239Kb
TOTAL:                  642KB            471Kb                                                                                                                                 385Kb   369Kb   321Kb
Concrètement, ça donne quoi chez toi ?

maltesefalcon
08/06/2016, 11h14
Hello,

J'ai répondu hier et apparament un modérateur devait valider ma réponse... Elle n'est pas apparue.

Si je fais un htop, aucun processus autre que ceux que j'ai lancés tournent.
Pour le netstat, la machine a une seule connexion établie, et c'est avec moi en ssh. Sinon elle listen (port de ma bdd mongo, et processus named)

C'est quand meme étrange... Quand je regarde mon traffic il ne s'arette jamais, et est toujours hyper élevé.

sloomy, que veux tu dire par monitoring OVH/KS ?

J'ai fait un ticket KS, ils ne savent pas d'ou ca peut venir....

sloomy
07/06/2016, 17h28
Bonjour,

Si tu as les ip tu peux déjà te faire une idée !
Regarde les logs
Pense au monitoring de OVH/KS ...

Cordialement,
Bruno

maltesefalcon
07/06/2016, 11h49
Salut nowwhat et merci pour ta réponse...

Tout d'abord, avec un petit htop je peux voir que les processus qui tournent sont uniquement ceux lancés par moi-même.
A part /lib/systemd/systemd --user (je ne sais pas ce que c'est), tout est normal.

Concernant le netstat,
La seule connexion établie est celle avec moi meme, en ssh...
Ensuite j'ai des LISTEN, comme par exemple le processus named, ou mongod (ma base mongo).
Pour finir, il reste des CLOSE_WAIT, car j'ai lancé un processus node.js et j'ai fait des connexions dessus. Il est actuellement arrété.

Comment peux-tu expliquer ceci ?


nowwhat
07/06/2016, 11h30
Citation Envoyé par maltesefalcon
B....
D'ou cela peut il venir ?
Il est impossible de te répondre.
Nous ne savons rien de ton serveur.

Ajoute à ta liste :
netstat -napt
et dit nous : quelle processus ?
Quelles portes ?
C'est ton serveur (un process) qui contacte des hôtes sur le net, ou à l'envers ?
etc etc.

PS : Rendre une base des données accessible à partir de l'internet, ok, mais, au moins, bloque son accès avec une liste des IP's autorisés.

maltesefalcon
07/06/2016, 11h18
Bonjour, Je viens de ré-installer un OS sur mon serveur dédié. Pour l'instant, j'ai uniquement installé quelques paquets basiques sur ma distribution, installé les mises a jour nécéssaires, et j'ai mis en place une base de données Mongodb (ouverte à l'exterieur).

En regardant le petit graphique du mon control panel, je m'apercois que toute les 30 minutes survient un pic de telechargment, avec la valeur 4266 (pps). Le graphique qui affiche le "traffic", est élevé en permanance, et je ne comprends pas pourquoi.
Sachant que rien n'accède à ma base de données, d'ou cela peut il venir ?

J'ai d'ailleurs changé les ports par défaut de ma BDD, du Ssh etc etc...
En utilisant les commandes NLoad et iftop, je peux voir que ma machine communique plusieurs hôtes.
D'ou cela peut il venir ?