Колян 2 Опубликовано: 2007-03-14 19:04:37 Share Опубликовано: 2007-03-14 19:04:37 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Ссылка на сообщение Поделиться на других сайтах
devchaos 1 Опубліковано: 2007-03-14 21:11:03 Share Опубліковано: 2007-03-14 21:11:03 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Может свич какойнить так мерзко умирает? Зафлудил всю сеть. Или сниффер активный. Пинги внутри сети между абонентами нормальные? Ссылка на сообщение Поделиться на других сайтах
Full 0 Опубліковано: 2007-03-14 21:56:09 Share Опубліковано: 2007-03-14 21:56:09 Скорей всего вирус в сети ... В моей сети такое случалось пока касперсиким не прочистил все компьтелры... Заражёный комп себя выдаёт по трафику в интернет , зарубежный на отдачу очень сильно преобладает разы так в 10 а то и больше .... У меня за день 3 Гбайта на щёлкало на отдачу... Основная проблема в том что вирус молотит очень много мелких пакетов из-за этого свичи не справляються и загибаются... Эта и есть основная проблема.... Да вот ещё ... Вирус находит только Касперский, говорят ещё и НОД но это я не пробывал.. Желаю Удачи. Это не реклама ..Это ЖИЗНЬ Ссылка на сообщение Поделиться на других сайтах
Ork Yason 8 Опубліковано: 2007-03-15 09:05:17 Share Опубліковано: 2007-03-15 09:05:17 отрубаешь все по сегментам и с ноутбуком определяешь где чего день убьешь - потом за 5минут долетишь (с) Ссылка на сообщение Поделиться на других сайтах
masters 126 Опубліковано: 2007-03-15 09:24:32 Share Опубліковано: 2007-03-15 09:24:32 Посмотри, может кольцо в сети - включи лог на файрволе и посмотри что там с броадкастами творится! А может быть - у провайдера проблемы! В Фре все привязано к DNS. Если у прова пропадает DNS сервер, я на свой сервак вообще попасть не могу (( Для SSH пока решил проблему - в sshd.conf выставил: use dns = "NO". Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2007-03-15 11:46:20 Share Опубліковано: 2007-03-15 11:46:20 Посмотри выхлоп программ top и systat. А так-же попробуй выдернуть сетевой кабель из сети и посмотреть на результат. Загрузку сети и что по ней летает, очень хорошо смотреть утилитами trafshow и tcpdump. Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2007-03-15 13:51:57 Автор Share Опубліковано: 2007-03-15 13:51:57 Свичи в порядке. Никто не флудит, сервак у меня на балконе стоит, перезагрузил, все в порядке. На свиче даже лампочки не мигали. Мигали, но не сильно, то есть, никто внутри сети пакостями не занимался. Видать, снаружи, хотя все закрыто, сам ничего не понимаю. Главное, началось два дня назад, но тогда все не решилось только ребутом сервака, еще и роутер лег. Сейчас все слава Богу стоит, видать, кому-то я нужен извне, айпишник динамичный, и найти меня наверное сложнее, поэтому на несколько дней все решается передергиванием питания роутера. Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2007-03-15 14:07:46 Автор Share Опубліковано: 2007-03-15 14:07:46 Вот выхлоп команды top: last pid: 58795; load averages: 0.00, 0.00, 0.00 up 0+18:21:46 16:00:02 42 processes: 1 running, 41 sleeping CPU states: 0.8% user, 0.0% nice, 1.2% system, 0.0% interrupt, 98.1% idle Mem: 111M Active, 257M Inact, 99M Wired, 23M Cache, 60M Buf, 3072K Free Swap: 997M Total, 16K Used, 997M Free PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND 10704 root 77 -19 5736K 3456K select 9:38 0.78% 0.78% stargazer 32615 root 8 0 6448K 3720K nanslp 0:46 0.00% 0.00% verlihub 633 mysql 20 0 51552K 24808K kserel 0:46 0.00% 0.00% mysqld 55677 root 5 0 1292K 768K ttyin 0:31 0.00% 0.00% getty 256 root 96 0 1384K 960K select 0:29 0.00% 0.00% natd 645 nobody 4 0 17712K 12944K accept 0:24 0.00% 0.00% httpd 326 root 96 0 1328K 804K select 0:15 0.00% 0.00% syslogd 646 nobody 4 0 16696K 11904K accept 0:12 0.00% 0.00% httpd 44000 nobody 4 0 16908K 12128K accept 0:12 0.00% 0.00% httpd 643 nobody 4 0 14300K 9472K accept 0:12 0.00% 0.00% httpd 43999 nobody 4 0 11104K 6264K accept 0:11 0.00% 0.00% httpd 43988 nobody 4 0 18396K 13676K accept 0:11 0.00% 0.00% httpd 44001 nobody 4 0 11076K 6396K accept 0:07 0.00% 0.00% httpd 644 nobody 4 0 18604K 13924K accept 0:07 0.00% 0.00% httpd 43998 nobody 4 0 19812K 15032K accept 0:06 0.00% 0.00% httpd 642 nobody 4 0 17696K 12880K accept 0:04 0.00% 0.00% httpd 641 root 96 0 9472K 4240K select 0:03 0.00% 0.00% httpd 542 root 8 0 1368K 904K nanslp 0:01 0.00% 0.00% cron 415 root 96 0 1248K 692K select 0:00 0.00% 0.00% usbd 338 root 96 0 1472K 1004K select 0:00 0.00% 0.00% rpcbind 683 root 96 0 1464K 1056K select 0:00 0.00% 0.00% inetd 58758 root 96 0 6132K 2444K select 0:00 0.00% 0.00% sshd 58761 root 20 0 2320K 1536K pause 0:00 0.00% 0.00% csh 10705 root -4 0 3224K 2224K msgwai 0:00 0.00% 0.00% stargazer 574 root 8 0 1668K 988K wait 0:00 0.00% 0.00% sh 707 root 96 0 1528K 1112K select 0:00 0.00% 0.00% amd 58795 root 96 0 2344K 1440K RUN 0:00 0.00% 0.00% top 32608 root 8 0 2148K 1308K wait 0:00 0.00% 0.00% bash 700 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 527 root 96 0 3400K 1880K select 0:00 0.00% 0.00% sshd 703 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 704 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 698 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 702 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 699 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 701 root 5 0 1292K 828K ttyin 0:00 0.00% 0.00% getty 308 root 114 0 516K 220K select 0:00 0.00% 0.00% devd Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2007-03-15 15:03:30 Share Опубліковано: 2007-03-15 15:03:30 Попробуй посмотреть trafshow по интерфейсам. У меня было такое, когда в сети много компов заразились сетевым вирусом и рассылали в сеть мнооого запросов. Тогда слабенький роутер усирался по прерыванию. Хотя у тебя 0.0% interrupt. Пинг идет без потерь? Ссылка на сообщение Поделиться на других сайтах
masters 126 Опубліковано: 2007-03-15 15:17:23 Share Опубліковано: 2007-03-15 15:17:23 Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... А че за симптомы? Долго думает по SSH и по ФТП - тоже долго подключается, и вообще проги даже долго стартуют, хотя в top все впорядке? У меня тоже такое бывает иногда! Ну у себя я знаю из-за чего это. Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2007-03-15 16:03:59 Автор Share Опубліковано: 2007-03-15 16:03:59 Сервак по прежнему че-то тупит, такое ощущение, что нагружен посамоенимагу... А че за симптомы? Долго думает по SSH и по ФТП - тоже долго подключается, и вообще проги даже долго стартуют, хотя в top все впорядке? У меня тоже такое бывает иногда! Ну у себя я знаю из-за чего это. Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был. Заметил такое вот в логах: Mar 15 17:08:17 k kernel: ipfw: 65534 Deny UDP 61.231.140.127:21588 192.168.1.2:45702 in via re1 Mar 15 17:08:46 k kernel: ipfw: 65534 Deny UDP 218.169.34.218:25022 192.168.1.2:45702 in via re1 Mar 15 17:18:25 k kernel: ipfw: 65534 Deny UDP 222.125.225.154:14126 192.168.1.2:45702 in via re1 Как я понял, с диалапа кто-то рыпалсо. Имя хоста - 61-231-140-127.dynamic.hinet.net. НА диалап похоже. Ну и зачем диалапщику пытаться залезть на сервак? Когда даже доступ к нему закрыт, и сайт сети вообще на хостинге находится. Это же еще и ИП надо узнать... Подозрительные записи! В конце лога много таких записей. Ссылка на сообщение Поделиться на других сайтах
denz 0 Опубліковано: 2007-03-15 18:26:12 Share Опубліковано: 2007-03-15 18:26:12 Здравствуйте, уважаеміе форумчане! Трабла страшная, аж мурашки по коже бегут. Ни с того ни с сего буквально джня два назад нгачались страаашные лаги на сервере. Ось - FreeBSD. Что случилось - я лично понять не могу, толи ддос, толи еще че-то. 2 дня назад лег не только сервер, но и адсл роутер. Не то, чтобы полностью лег, тупил просто страшно. перезапустил сервер, все пашет, но инет подтуплял страшно. Перезагрузил роутер - все пашет отлично! Сейчас удивляюсь, как вообще что-то пишу, по ссш никак не могу попасть, сервер пингуется, внутрисетевые сайты не открываются, старгейзер лег, но в инет пока что доступ есть. Хорошо, хоть нат стоит. Что это может быть, кто подскажет? Перед этим можно было зайти по ссш, но тупило страшно, смотрел загрузку сервера командой аптайм, загружен был не более чем на 0,45/за последнюю минуту. Смотрел, какие процессы и чего нагружают? Ничего не нагружает ни процессор, ни память. Старгейзер около 1.4% загрузки ЦПУ и ХТТПД около 0,65. Остальное буквально по нулю, ну память тоже не была нагружена. Потом все лагнуло вообще и по ссш не получается войти, жду до сих пор запроса логина. Такое встречаю в первый раз, кто поможет? Может стоит посмотреть в сторону аппаратного глюка... Вот допустим с тормозами у меня был случай, вот, но дело оказалось в том что кулер на процессоре не крутился... камень грелся но работал... но симптомы те-же... Ссылка на сообщение Поделиться на других сайтах
masters 126 Опубліковано: 2007-03-15 20:04:38 Share Опубліковано: 2007-03-15 20:04:38 Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был. У меня такое когда у провайдера проблемы - мне кажется все-таки DNS!!! Стоит у меня 2 тачки под Фрей: одна подключена к инету, другая - нет. На второй лагов не было вообще. Вообщем я выловил момент когда первая машина стала лагать и подключил вторую к нету - теже симптомы Звоню провайдеру - говорят что у них небольшие проблемы Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-03-15 21:43:11 Share Опубліковано: 2007-03-15 21:43:11 Именно. Но в тот день и биллинг лег, и все, проц видать на пределе был.Заметил такое вот в логах: Mar 15 17:08:17 k kernel: ipfw: 65534 Deny UDP 61.231.140.127:21588 192.168.1.2:45702 in via re1 Mar 15 17:08:46 k kernel: ipfw: 65534 Deny UDP 218.169.34.218:25022 192.168.1.2:45702 in via re1 Mar 15 17:18:25 k kernel: ipfw: 65534 Deny UDP 222.125.225.154:14126 192.168.1.2:45702 in via re1 Как я понял, с диалапа кто-то рыпалсо. Имя хоста - 61-231-140-127.dynamic.hinet.net. НА диалап похоже. Ну и зачем диалапщику пытаться залезть на сервак? Когда даже доступ к нему закрыт, и сайт сети вообще на хостинге находится. Это же еще и ИП надо узнать... Подозрительные записи! В конце лога много таких записей. Вряд ли взломщик будет ломится по UDP... Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2007-03-17 07:16:49 Автор Share Опубліковано: 2007-03-17 07:16:49 Насчет ДНС человек возможно прав. Поднял свой, по ссш не тупит. Но тогда он вообще упал, и роутер нагрузки видать не выдержал. Влятри роутер упал из-за того, что упал ДНС Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас