Колян 2 Posted 2007-03-14 19:04:37 Share Posted 2007-03-14 19:04:37 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Link to post Share on other sites
devchaos 1 Posted 2007-03-14 21:11:03 Share Posted 2007-03-14 21:11:03 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Может свич какойнить так мерзко умирает? Зафлудил всю сеть. Или сниффер активный. Пинги внутри сети между абонентами нормальные? Link to post Share on other sites
Full 0 Posted 2007-03-14 21:56:09 Share Posted 2007-03-14 21:56:09 Скорей всего вирус в сети ... В моей сети такое случалось пока касперсиким не прочистил все компьтелры... Заражёный комп себя выдаёт по трафику в интернет , зарубежный на отдачу очень сильно преобладает разы так в 10 а то и больше .... У меня за день 3 Гбайта на щёлкало на отдачу... Основная проблема в том что вирус молотит очень много мелких пакетов из-за этого свичи не справляються и загибаются... Эта и есть основная проблема.... Да вот ещё ... Вирус находит только Касперский, говорят ещё и НОД но это я не пробывал.. Желаю Удачи. Это не реклама ..Это ЖИЗНЬ Link to post Share on other sites
Ork Yason 8 Posted 2007-03-15 09:05:17 Share Posted 2007-03-15 09:05:17 отрубаешь все по сегментам и с ноутбуком определяешь где чего день убьешь - потом за 5минут долетишь (с) Link to post Share on other sites
masters 126 Posted 2007-03-15 09:24:32 Share Posted 2007-03-15 09:24:32 Посмотри, может кольцо в сети - включи лог на файрволе и посмотри что там с броадкастами творится! А может быть - у провайдера проблемы! В Фре все привязано к DNS. Если у прова пропадает DNS сервер, я на свой сервак вообще попасть не могу (( Для SSH пока решил проблему - в sshd.conf выставил: use dns = "NO". Link to post Share on other sites
XoRe 0 Posted 2007-03-15 11:46:20 Share Posted 2007-03-15 11:46:20 Посмотри выхлоп программ top и systat. А так-же попробуй выдернуть сетевой кабель из сети и посмотреть на результат. Загрузку сети и что по ней летает, очень хорошо смотреть утилитами trafshow и tcpdump. Link to post Share on other sites
Колян 2 Posted 2007-03-15 13:51:57 Author Share Posted 2007-03-15 13:51:57 Свичи в порядке. Никто не флудит, сервак у меня на балконе стоит, перезагрузил, все в порядке. На свиче даже лампочки не мигали. Мигали, но не сильно, то есть, никто внутри сети пакостями не занимался. Видать, снаружи, хотя все закрыто, сам ничего не понимаю. Главное, началось два дня назад, но тогда все не решилось только ребутом сервака, еще и роутер лег. Сейчас все слава Богу стоит, видать, кому-то я нужен извне, айпишник динамичный, и найти меня наверное сложнее, поэтому на несколько дней все решается передергиванием питания роутера. Link to post Share on other sites
Колян 2 Posted 2007-03-15 14:07:46 Author Share Posted 2007-03-15 14:07:46 Вот выхлоп команды top: last pid: 58795; load averages: 0.00, 0.00, 0.00 up 0+18:21:46 16:00:02 42 processes: 1 running, 41 sleeping CPU states: 0.8% user, 0.0% nice, 1.2% system, 0.0% interrupt, 98.1% idle Mem: 111M Active, 257M Inact, 99M Wired, 23M Cache, 60M Buf, 3072K Free Swap: 997M Total, 16K Used, 997M Free PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND 10704 root 77 -19 5736K 3456K select 9:38 0.78% 0.78% stargazer 32615 root 8 0 6448K 3720K nanslp 0:46 0.00% 0.00% verlihub 633 mysql 20 0 51552K 24808K kserel 0:46 0.00% 0.00% mysqld 55677 root 5 0 1292K 768K ttyin 0:31 0.00% 0.00% getty 256 root 96 0 1384K 960K select 0:29 0.00% 0.00% natd 645 nobody 4 0 17712K 12944K accept 0:24 0.00% 0.00% httpd 326 root 96 0 1328K 804K select 0:15 0.00% 0.00% syslogd 646 nobody 4 0 16696K 11904K accept 0:12 0.00% 0.00% httpd 44000 nobody 4 0 16908K 12128K accept 0:12 0.00% 0.00% httpd 643 nobody 4 0 14300K 9472K accept 0:12 0.00% 0.00% httpd 43999 nobody 4 0 11104K 6264K accept 0:11 0.00% 0.00% httpd 43988 nobody 4 0 18396K 13676K accept 0:11 0.00% 0.00% httpd 44001 nobody 4 0 11076K 6396K accept 0:07 0.00% 0.00% httpd 644 nobody 4 0 18604K 13924K accept 0:07 0.00% 0.00% httpd 43998 nobody 4 0 19812K 15032K accept 0:06 0.00% 0.00% httpd 642 nobody 4 0 17696K 12880K accept 0:04 0.00% 0.00% httpd 641 root 96 0 9472K 4240K select 0:03 0.00% 0.00% httpd 542 root 8 0 1368K 904K nanslp 0:01 0.00% 0.00% cron 415 root 96 0 1248K 692K select 0:00 0.00% 0.00% usbd 338 root 96 0 1472K 1004K select 0:00 0.00% 0.00% rpcbind 683 root 96 0 1464K 1056K select 0:00 0.00% 0.00% inetd 58758 root 96 0 6132K 2444K select 0:00 0.00% 0.00% sshd 58761 root 20 0 2320K 1536K pause 0:00 0.00% 0.00% csh 10705 root -4 0 3224K 2224K msgwai 0:00 0.00% 0.00% stargazer 574 root 8 0 1668K 988K wait 0:00 0.00% 0.00% sh 707 root 96 0 1528K 1112K select 0:00 0.00% 0.00% amd 58795 root 96 0 2344K 1440K RUN 0:00 0.00% 0.00% top 32608 root 8 0 2148K 1308K wait 0:00 0.00% 0.00% bash 700 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 527 root 96 0 3400K 1880K select 0:00 0.00% 0.00% sshd 703 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 704 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 698 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 702 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 699 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 701 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 308 root 114 0 516K 220K select 0:00 0.00% 0.00% devd Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... Link to post Share on other sites
XoRe 0 Posted 2007-03-15 15:03:30 Share Posted 2007-03-15 15:03:30 Попробуй посмотреть trafshow по интерфейсам. У меня было такое, когда в сети много компов заразились сетевым вирусом и рассылали в сеть мнооого запросов. Тогда слабенький роутер усирался по прерыванию. Хотя у тебя 0.0% interrupt. Пинг идет без потерь? Link to post Share on other sites
masters 126 Posted 2007-03-15 15:17:23 Share Posted 2007-03-15 15:17:23 Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... А че за симптомы? Долго думает по SSH и по ФТП - тоже долго подключается, и вообще проги даже долго стартуют, хотя в top все впорядке? У меня тоже такое бывает иногда! Ну у себя я знаю из-за чего это. Link to post Share on other sites
Колян 2 Posted 2007-03-15 16:03:59 Author Share Posted 2007-03-15 16:03:59 Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... А че за симптомы? Долго думает по SSH и по ФТП - тоже долго подключается, и вообще проги даже долго стартуют, хотя в top все впорядке? У меня тоже такое бывает иногда! Ну у себя я знаю из-за чего это. Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был. Заметил такое вот в логах: Mar 15 17:08:17 k kernel: ipfw: 65534 Deny UDP 61.231.140.127:21588 192.168.1.2:45702 in via re1 Mar 15 17:08:46 k kernel: ipfw: 65534 Deny UDP 218.169.34.218:25022 192.168.1.2:45702 in via re1 Mar 15 17:18:25 k kernel: ipfw: 65534 Deny UDP 222.125.225.154:14126 192.168.1.2:45702 in via re1 Как я понял, с диалапа кто-то рыпалсо. Имя хоста - 61-231-140-127.dynamic.hinet.net. НА диалап похоже. Ну и зачем диалапщику пытаться залезть на сервак? Когда даже доступ к нему закрыт, и сайт сети вообще на хостинге находится. Это же еще и ИП надо узнать... Подозрительные записи! В конце лога много таких записей. Link to post Share on other sites
denz 0 Posted 2007-03-15 18:26:12 Share Posted 2007-03-15 18:26:12 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Может стоит посмотреть в сторону аппаратного глюка... Вот допустим с тормозами у меня был случай, вот, но дело оказалось в том что кулер на процессоре не крутился... камень грелся но работал... но симптомы те-же... Link to post Share on other sites
masters 126 Posted 2007-03-15 20:04:38 Share Posted 2007-03-15 20:04:38 Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был. У меня такое когда у провайдера проблемы - мне кажется все-таки DNS!!! Стоит у меня 2 тачки под Фрей: одна подключена к инету, другая - нет. На второй лагов не было вообще. Вообщем я выловил момент когда первая машина стала лагать и подключил вторую к нету - теже симптомы Звоню провайдеру - говорят что у них небольшие проблемы Link to post Share on other sites
Queeq 0 Posted 2007-03-15 21:43:11 Share Posted 2007-03-15 21:43:11 Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был.Заметил такое вот в логах: Mar 15 17:08:17 k kernel: ipfw: 65534 Deny UDP 61.231.140.127:21588 192.168.1.2:45702 in via re1 Mar 15 17:08:46 k kernel: ipfw: 65534 Deny UDP 218.169.34.218:25022 192.168.1.2:45702 in via re1 Mar 15 17:18:25 k kernel: ipfw: 65534 Deny UDP 222.125.225.154:14126 192.168.1.2:45702 in via re1 Как я понял, с диалапа кто-то рыпалсо. Имя хоста - 61-231-140-127.dynamic.hinet.net. НА диалап похоже. Ну и зачем диалапщику пытаться залезть на сервак? Когда даже доступ к нему закрыт, и сайт сети вообще на хостинге находится. Это же еще и ИП надо узнать... Подозрительные записи! В конце лога много таких записей. Вряд ли взломщик будет ломится по UDP... Link to post Share on other sites
Колян 2 Posted 2007-03-17 07:16:49 Author Share Posted 2007-03-17 07:16:49 Насчет ДНС человек возможно прав. Поднял свой, по ссш не тупит. Но тогда он вообще упал, и роутер нагрузки видать не выдержал. Влятри роутер упал из-за того, что упал ДНС Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now