LINUX.ORG.RU

Огромное кол-во подключений к серверу, баны, сквиды, расследования..

 , , , ,


0

1

Имеем Дебиан сервер, на нем крутится сквид, мускуль, апач и локальный сайтик. Провайдер интернетов: пчелайн. Кол-во юзеров в локалке: 50, доступ к интернетам далеко не у всех есть. На вирусню виндомашины были проверены касперским и дрвеб кур ит.

Начал падать интернет и за ночь сервер гоняет тонны трафика при условии того что все юзеры спят. +Начали банить IP все крупные сайты.

cat /proc/net/ip_conntrack | wc -l — 6966

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n — 800 23.60.69.183 — 810 23.60.69.151

Вхуиз говорит нам, что это некий CDN, но именно он создает львиную долю трафика даже при условии, что сквид отключен.

Баним его айпитейблсом. Включаем сквид. Пытаемся войти в интернеты и тут нам при входе на любой сайтик Ошибка 130 (net::ERR_PROXY_CONNECTION_FAILED): Сбой при подключении к прокси-серверу

DNS провайдерский. Список конфигов: squid.conf, iptables-save, ifconfig, route -n Посмотреть конфиги можно тут http://pastebin.com/KRGLqKRj



Последнее исправление: DiWorm (всего исправлений: 2)

ты бы из того же коннтрака или как посмотрел, кто именно подключается к этому cdn-у

aol ★★★★★
()
Ответ на: комментарий от aol

Забанил 2 адреса и рестартанул сквид, как не странно сейчас все работает. Но переодически все равно выползает ошибка и появляются жуткие тормоза интернетов. Потерь при пинге нету. Нагрузка на сервер упала в 2 раза.

DiWorm
() автор топика

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable

это правило посмотри: на счетчик, отключи и т.д.

uspen ★★★★★
()
Ответ на: комментарий от uspen

Нашлась беда, вырубаю сквид - коннекты пропадают.. включаю сквид.. захожу в просмотр jnettop по eth0 тишина (лан), eth1(wan) и ppp0 идет какаой-то хаос... Хосты и запросы абсолютно разные, но в большенстве это некие qq.com, youtube.com и украинские сайтики, скрин можете посмотреть http://storage4.static.itmages.ru/i/12/1102/h_1351878648_3570715_d4a94f302c.png

В офисе сейчас все компьютеры у которых есть доступ к интернетам выключены и в офисе никого нет. Я растерян и не знаю, что делать дальше.

DiWorm
() автор топика
Ответ на: комментарий от DiWorm

Ты уже в списках публичных прокси есть, ты знаешь? И жалобы на спам с твоего айпишника. Загугли его.

А ещё у тебя WebMin на 10000 и ssh на 10500. ssh надо обновить, твоя версия подвержена DDoS-атакам.

i-rinat ★★★★★
()
Последнее исправление: i-rinat (всего исправлений: 2)
Ответ на: комментарий от i-rinat

О том, что айпишник в базах знаю, как мне обновить ссш если в пакетах для обновления его нет? при условии того и причем тут вебмин? Хочется узнать поподробнее о всем и что порекомендуете кроме сноса вебмина?

DiWorm
() автор топика
Ответ на: комментарий от i-rinat

Кхм и самый глупый вопрос, как я мог стать публичным прокси, если доступ к прокси есть только из локалки?

DiWorm
() автор топика
Ответ на: комментарий от DiWorm

как мне обновить ссш если в пакетах для обновления его нет?

А, ну да. Я не смотрел версии в репозитории, я просто поискал упоминания об уязвимостях. Что-то там нашлось. Думал, что уже обновили.

причем тут вебмин

Он тут не при чём, просто светит портом в интернет. Не самое лучшее решение, наверное.

и что порекомендуете

Я «админ локалхоста», так что ничего не порекомендую.

как я мог стать публичным прокси, если доступ к прокси есть только из локалки?

Видать не только из локалки. У меня не получилось подключиться, но у кого-то получилось, судя по скриншоту.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

конфиг в 1 посте, там четко указаны доступы для локальных ip и запрет на любые из вне.. Вроде просканировал конфиг еще раз, косяков не вижу..

DiWorm
() автор топика
Ответ на: комментарий от DiWorm

конфиг в 1 посте, там четко указаны доступы для локальных ip и запрет на любые из вне.. Вроде просканировал конфиг еще раз, косяков не вижу..

http://wiki.squid-cache.org/SquidFaq/SquidAcl

http_access allow|deny acl AND acl AND ...
        OR
http_access allow|deny acl AND acl AND ...
        OR
...
И режь iptables'ами все новые (не привязанные к установленным соединениям) входящие извне пакеты, кроме реально нужных (ssh, http, etc...).

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Из мануала по сквиду - это ведь для однострочника? и вполне можно использовать конструкцию как у меня или я что-то упустил при чтении дефолтного конфига-мануала?

DiWorm
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.