Abuse Meldung root Server Traffic out

    Ich habe eine Abuse Meldung erhalten, dass mein Server massiv Pakete nach draußen gesendet hat. So richtig kann ich mir keinen Reim darauf machen und brauche eure Hilfe:


    Es läuft Ubuntu 16.04

    Wie kann ich nachträglich sehen, welcher Prozess diesen Traffic verursacht hat? Wäre ja für die Analyse nicht ganz unwichtig. Anschließend muss ich dann sehen, ob das nur ein Fehlverhalten war, oder ob der Server kompromittiert ist...


    Danke schon mal für die Hilfe.

    Was genau steht denn in der Abuse Meldung? Da sind doch sicher irgendwelche Logauszüge dabei.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Log:



    Direction: OUT

    Internal IP: a.b.c

    Treshold Packets: 30000 packets/s

    Sum Packets: 22333500 packets/300s (74445 packets/s)

    Sum Bytes: 26.54 GByte/300s (724.8 MBit/s)



    Detail Output:

    Src IP Addr:Port Dst IP Addr:Port Packets Bytes

    A.b.c:48554 -> x.y.z:xxx 4050 228150


    Es folgen weitere Zeilen mit teilweise den gleichen Ziel-IPs und Port. Der Quellport ist immer ein anderer.

    Die Ziel-IP ist Dein (Cloud-)Storage-Provider? Sicher?


    Mir kommt das etwas merkwürdig vor. Ich schiebe z.B. jeweils am Monatsletzten eine Vollsicherung mit ca. 50-60GB auf einen anderen Server, der nicht im NetCup-Rechenzentrum steht. Das ist somit deutlich mehr als Du hier verbraucht hast. Und ich tue das in ca. 3 Stunden. Eine Abuse-Meldung habe ich noch nie erhalten. Allerdings muss ich zugeben, dass ich dabei offenkundig nicht so flott unterwegs bin wie du.


    Wer hat Dir das geschickt? NetCup im eigenen Namen, oder jemand anderer und NetCup hat es Dir nur aufbereitet und weitergeleitet?


    Zur Frage des "maximalen Speed": Die Abuse-Meldung spricht von "Treshold Packets: 30000 packets/s" und weiters von "74445 packets/s" sowie "724.8 MBit/s". Wenn ich 724,8MBit durch 74445 Pakete/s dividiere komme ich somit auf eine durchschnittliche Paketgröße von 1217 Bytes -> OK, das klingt plausibel. Dass Dein Server mit 725MBit gesendet hat klingt jetzt auch nicht unplausibel.


    Um demnach den Treshold von 30.000 Paketen/sek nicht zu überschreiten, dürftest Du bei einer Paketgröße von eben ca. 1217 Bytes demnach nicht mehr als mit 290MBit/Sek bzw. 36MByte/Sek senden.

    Ziemlich sicher...

    Habe leider vorher nur die oberste Zeile kopiert, in den anderen war mehr los:


    abc:34684 -> 216.58.207.42:443 5.3 M 6.9 G

    abc:52984 -> 172.217.22.106:443 5.9 M 7.6 G


    Beide IPs gehören google, zu denen ich transferiert habe. Solche Einträge tauchen noch zwei Mal im Log auf.

    Danke für deine Rechnung, auf sowas kam ich dann nachher auch. Werde also mal entsprechend den Traffic begrenzen und schauen was passiert.

    Was passiert denn beim nächsten Verstoß? Wird mir der Server dicht gemacht?

    Ist dann aber nach meinem Verständnis ein fehler von netcup, die können ja nicht wissen, ob der Traffic "erlaubt" war oder abuse. Du hast dich ja mit deinem Traffic über keinerlei Regelungen von netcup hinweggesetzt, also ist es ein Fehler.


    Ich würde das auf jeden Fall netcup so schildern und auch keine Unterlassungserklärung unterschreiben. Hier handelt es sich ja offensichtlich um ein Missverständnis. Wichtig ist halt, dass du jetzt nicht einfach den Traffic begrenzt und dann nichts mehr von netcup hörst, weil dann stehst du in deren Buch trotzdem mit einem "Strike", was sich bei einem späteren echten Abuse Fall sicherlich unvorteilhaft für dich auswirkt.

    Dann hat vielleicht einfach nur ein automatischer Filter von Netcup gegriffen.


    Hast du schon mit dem Netcup Support darüber geredet? Kannst denen ja mal schildern, dass du nur ein Backup gemacht hast, dann siehst du ja, was die sagen.


    Möglicherweise muß deine Aktion dem Filter einfach nur beigebracht werden.

    Es waren halt einfach zu viele Pakete in zu kurzer Zeit und das zu unterschiedlichen IPs. Natürlich ist dann einfach der automatischen Filter angesprungen und das ist im Prinzip ja auch gut so, hätte ja auch ein Angriff sein können.

    Guter Vorschlag das mit dem Support zu diskutieren, das werde ich tun. Mal schauen, wie sich das in Zukunft verhindern lässt.

    Zitat von Coxeroni

    Erstmal wurde der Server wieder aktiviert, da meine Ausführungen, dass es lediglich ein Backup zu Google war, akzeptiert wurden. Wie das nun in Zukunft nicht mehr passieren soll, darüber stehen wir noch im Austausch ;)

    Magst du uns auf den aktuellen Stand halten?