Dois dias atrás, comecei a ter problemas com a Internet. Meu Desktop e outro computador (servidor da web) estão conectados à Internet por meio do roteador. No monitor munin no servidor, não encontrei nada interessante, exceto alta taxa de transferência do firewall. Como você pode ver na tela, ela é muito alta mesmo à noite.
Poderia causar isso? Eu pensei que poderia ser algum invasor, mas eu não descobri ninguém no netstat.
A carga máxima do servidor é de cerca de 60 a 75%
Pelo menos as estatísticas do seu Munin são novas. Mas dentro dos poucos dias monitorados, é possível ver a mudança nos últimos dois dias.
Eu suponho que seus PCs estão desligados durante a noite - o único dispositivo ativo seria seu firewall.
Por favor, verifique o firewall para infecções com rootkit_hunter: link
Acho que o seu firewall é novo e você deve verificar se há atualizações.
Verifique quais portas estão abertas no lado da Internet: link
O seu roteador tem a capacidade de mostrar IP's conectados? Alguma daquelas mostrando muita atividade estranha?
O TCPdump pode mostrar o que está passando pela conexão. Você poderia rotear o tráfego do seu roteador para uma máquina virtual e encaminhá-lo para que você pudesse detectar o tráfego interceptado e ver o que está passando pela conexão.
Algo incomum nos registros de qualquer máquina?
E as estatísticas da interface de rede nas suas máquinas? Redefinir estatísticas e ver o que está acontecendo lá.
Se suas máquinas estão desconectadas por um período de tempo da rede, o roteador ainda está exibindo altos níveis de atividade?
O seu roteador mostra estações de trabalho conectadas a ele, ou você pode farejar endereços MAC e / ou IPs fraudulentos em sua rede se você tiver wireless?
Você executou varreduras de vírus / malware em todas as suas máquinas, lembrando que elas só podem dizer se você está infectado, e não que não está (em outras palavras, não é 100% confiável, pois o malware pode se camuflar? se é inteligente)?
A melhor coisa a tentar fazer na minha opinião é obter outra máquina na rede para farejar o tráfego de rede e procurar por anomalias. Se eu estou lendo suas estatísticas de tráfego corretamente, você está recebendo uma enorme quantidade de tráfego de entrada, não muito de saída, então alguém está baixando um monte de coisas ou você está sendo atingido com algum tipo de sonda ou ataque. Se você não conseguir restringi-lo em sua rede, entre em contato com seu ISP e veja se eles podem ver o que está entrando em sua conexão do lado deles; eles devem ser capazes de determinar um pouco melhor se você estiver sob um ataque de negação de serviço. Verifique seu roteador, verifique com sniffers de pacote, verifique usando uma VM limpa e redirecione todo o tráfego com envenenamento por ARP para ver se é possível detectar de onde a atividade está vindo.
Se você tiver wireless, tente desligá-lo para determinar se há outra pessoa na sua rede (se você não tiver um roteador / AP que informe o MAC das estações de trabalho anexadas).
É possível que uma de suas máquinas esteja infectada e a sua sua máquina atacando outras pessoas.
Dê uma olhada no iptraf para monitorar a atividade das conexões. Se houver uma conexão que esteja consumindo a largura de banda, você verá isso.
Além disso, se isso for causado por conexões na porta não aberta, você não a verá com netstat (somente lista de conexões em sockets abertos). Tente logar com o netfilter e / ou com o tcpdump.
Tags firewall router linux apache-2.2