Достался мне в наследство сервер(на дебиане) на работе от предыдущего админа с апачем и порядка 200 сайтами.
Все бы хорошо но в 2 часа ночи исходящий трафик вырос до 815ти мегабит!!!
Как определить какой из сайтов делает эту загрузку(если в данный момент), и если возможно определить кто это делал ночью(если уже нету этого трафика)?

• Apache неизвестный трафик ,KarD_IO, 12:18 , 02-Сен-10
  • Apache неизвестный трафик ,maxxch, 12:58 , 02-Сен-10
    • Apache неизвестный трафик ,KarD_IO, 13:03 , 02-Сен-10
      • Apache неизвестный трафик ,maxxch, 13:36 , 02-Сен-10
        • Apache неизвестный трафик ,KarD_IO, 13:50 , 02-Сен-10
          • Apache неизвестный трафик ,maxxch, 14:51 , 02-Сен-10
          • Apache неизвестный трафик ,дщдщ, 17:35 , 05-Окт-10
• mod_status,bobr, 13:19 , 02-Сен-10
  • mod_status,maxxch, 13:49 , 02-Сен-10
• Apache неизвестный трафик ,Nimdar, 13:50 , 02-Сен-10
  • Apache неизвестный трафик ,maxxch, 14:52 , 02-Сен-10
    • Apache неизвестный трафик ,Nimdar, 15:14 , 02-Сен-10
      • Apache неизвестный трафик ,maxxch, 15:26 , 02-Сен-10
        • Apache неизвестный трафик ,Nimdar, 15:45 , 02-Сен-10
          • Apache неизвестный трафик ,maxxch, 16:29 , 02-Сен-10
            • Apache неизвестный трафик ,Nimdar, 16:43 , 02-Сен-10
              • Apache неизвестный трафик ,maxxch, 16:58 , 02-Сен-10
                • Apache неизвестный трафик ,Nimdar, 17:11 , 02-Сен-10
                  • Apache неизвестный трафик ,maxxch, 17:21 , 02-Сен-10
          • Apache неизвестный трафик ,Ilya Lihachev, 09:52 , 12-Дек-10
        • Apache неизвестный трафик ,KarD_IO, 16:47 , 02-Сен-10

в логах пишется

1. имя хоста

2. время

3. размер

grep + небольшой скриптик

>в логах пишется
>
>1. имя хоста
>
>2. время
>
>3. размер
>
>grep + небольшой скриптик

да нету такого, в момент загрузки я определил на какой хост идет траффик, отключил в фаерволе его, а в логах на счет этой ip ни слова...

>[оверквотинг удален]
>>
>>2. время
>>
>>3. размер
>>
>>grep + небольшой скриптик
>
>да нету такого, в момент загрузки я определил на какой хост идет
>траффик, отключил в фаерволе его, а в логах на счет этой
>ip ни слова...

Если 200 сайтов на одном сервере, значит это виртуальные хосты, в логи (http_access.log), обычно, пишется имя виртуального хоста, время обращения к нему, размер отдаваемого контента, и код завершения операции. Есть такое?

>[оверквотинг удален]
>>>
>>>grep + небольшой скриптик
>>
>>да нету такого, в момент загрузки я определил на какой хост идет
>>траффик, отключил в фаерволе его, а в логах на счет этой
>>ip ни слова...
>
>Если 200 сайтов на одном сервере, значит это виртуальные хосты, в логи
>(http_access.log), обычно, пишется имя виртуального хоста, время обращения к нему, размер
>отдаваемого контента, и код завершения операции. Есть такое?

eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "-
" "Jyxobot/1"

да есть, но той ip что создавала траффик нигде нету, просканировал все логи.

>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "-
>
>" "Jyxobot/1"
>
>да есть, но той ip что создавала траффик нигде нету, просканировал все
>логи.

217.31.54.140 - не оно?

>
>>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "-
>>
>>" "Jyxobot/1"
>>
>>да есть, но той ip что создавала траффик нигде нету, просканировал все
>>логи.
>
>217.31.54.140 - не оно?

:)
пишу же "просканировал все логи, нигде!!! нету" а тем более в этом примере
ip если интересно 74.208.143.150

>>eee.com:80 217.31.54.140 - - [29/Aug/2010:07:13:56 +0200] "GET /ligamanager-550?Itemid=638 HTTP/1.0" 200 125832 "-
>>
>>" "Jyxobot/1"
>>
>>да есть, но той ip что создавала траффик нигде нету, просканировал все
>>логи.
> 217.31.54.140 - не оно?

http://httpd.apache.org/docs/2.2/mod/mod_status.html

>http://httpd.apache.org/docs/2.2/mod/mod_status.html

поставил, он конечно хорош, но не дает информации по трафику по хостам.
так же если какой либо хост запустил питон скрипт который генерит его он тоже не видит.

А с чего ты решил, что это именно апач, т.е. что трафик именно с 80 порта? Как насчёт варианта со скриптом на сервере, который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова туча вариантов. Тем более, что сервер "по наследству".
Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще весь процесслист. Но особое внимание, повторяю, крону.

>А с чего ты решил, что это именно апач, т.е. что трафик
>именно с 80 порта? Как насчёт варианта со скриптом на сервере,
>который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова
>туча вариантов. Тем более, что сервер "по наследству".
>Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще
>весь процесслист. Но особое внимание, повторяю, крону.

вот об этом я и говорю, как проследить какой скрипт отдает в данный момент, и какой из хостов его хазяин, ведь юзвени сами их пишут и подгружают на сервак. а было бы вообще отлично если бы можно это сделать уже после того как...

>[оверквотинг удален]
>>именно с 80 порта? Как насчёт варианта со скриптом на сервере,
>>который что-то отдаёт\отдал разово? Как насчёт rsync? Как насчёт... ещё херова
>>туча вариантов. Тем более, что сервер "по наследству".
>>Посмотри все задания в кроне, посмотри какие ещё демоны запущены, посмотри вообще
>>весь процесслист. Но особое внимание, повторяю, крону.
>
>вот об этом я и говорю, как проследить какой скрипт отдает в
>данный момент, и какой из хостов его хазяин, ведь юзвени сами
>их пишут и подгружают на сервак. а было бы вообще отлично
>если бы можно это сделать уже после того как...

Ты не понял. Я имел ввиду, что соединение инициируется сервером, а не извне. И если это так, то смотреть нужно "в момент", после уже никак.
man top
man ps
man netstat

>[оверквотинг удален]
>>данный момент, и какой из хостов его хазяин, ведь юзвени сами
>>их пишут и подгружают на сервак. а было бы вообще отлично
>>если бы можно это сделать уже после того как...
>
>Ты не понял. Я имел ввиду, что соединение инициируется сервером, а не
>извне. И если это так, то смотреть нужно "в момент", после
>уже никак.
>man top
>man ps
>man netstat

я понимаю, в top и ps я увижу процесс apache2 и все, ну максимум какая загрузка проца, но виртуал хост то не определю :(
уже были до этого подобные случаи.
Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.

>[оверквотинг удален]
>>man top
>>man ps
>>man netstat
>
>я понимаю, в top и ps я увижу процесс apache2 и все,
>ну максимум какая загрузка проца, но виртуал хост то не определю
>:(
>уже были до этого подобные случаи.
>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что
>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.

Вот тебя заклинило. Попробуем с другой стороны.
С какого порта шёл трафик?

>[оверквотинг удален]
>>
>>я понимаю, в top и ps я увижу процесс apache2 и все,
>>ну максимум какая загрузка проца, но виртуал хост то не определю
>>:(
>>уже были до этого подобные случаи.
>>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что
>>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.
>
>Вот тебя заклинило. Попробуем с другой стороны.
>С какого порта шёл трафик?

да вот не знаю я сейчас, обнаружил это коллега который теперь в отпуску.
а шеф меня заставил расследовать то что было на графиках.

>[оверквотинг удален]
>>>уже были до этого подобные случаи.
>>>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что
>>>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.
>>
>>Вот тебя заклинило. Попробуем с другой стороны.
>>С какого порта шёл трафик?
>
>да вот не знаю я сейчас, обнаружил это коллега который теперь в
>отпуску.
>а шеф меня заставил расследовать то что было на графиках.

Трафик исходящий или входящий?
Где искать - см. выше, я уже писал.
1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант сойдёт).
2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет.
3. Что ещё? Ну-у, бекапы, например, на соседний сервер.
4. Злобные хацкеры слили все базы с сервера.
5. Кто-то по [s]ftp сливает/заливает файл(ы).
и т.д.

>[оверквотинг удален]
>
>Трафик исходящий или входящий?
>Где искать - см. выше, я уже писал.
>1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант
>сойдёт).
>2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет.
>3. Что ещё? Ну-у, бекапы, например, на соседний сервер.
>4. Злобные хацкеры слили все базы с сервера.
>5. Кто-то по [s]ftp сливает/заливает файл(ы).
>и т.д.

уже думал над этим
траффик держался на 800мегабитах почти 4 часа, там не то что один сервер там полинтернета слить можно было, трафик только исходящий.
просмотрел крон, там все чисто.
но ведь это нужно и на том сервере иметь гигабит свободный чтобы загрузить.

>[оверквотинг удален]
>>1. Например, автоматическое обновление системы (хотя тоже до хрена, но как вариант
>>сойдёт).
>>2. Кто-то запустил/запускает скрипт, который по ночам скачивает что-то из интернет.
>>3. Что ещё? Ну-у, бекапы, например, на соседний сервер.
>>4. Злобные хацкеры слили все базы с сервера.
>>5. Кто-то по [s]ftp сливает/заливает файл(ы).
>>и т.д.
>
>уже думал над этим
>траффик держался на 800мегабитах почти 4 часа, там не то что один

Это примерно 1.5 Тб. Почти гигабит и один айпишник - значит где-то "рядом". Вариант с бекапом всего и вся на другой сервер самый возможный, кмк.

>сервер там полинтернета слить можно было, трафик только исходящий.
>просмотрел крон, там все чисто.
>но ведь это нужно и на том сервере иметь гигабит свободный чтобы
>загрузить.

А ты не думай за тот сервер, там может быть что угодно. Думай за свой и ищи. Просмотри _все_ логи сервака за те четыре часа, может что странное заметишь (хотя сомневаюсь).

З.Ы. Сервер где стоит?

>[оверквотинг удален]
>>сервер там полинтернета слить можно было, трафик только исходящий.
>>просмотрел крон, там все чисто.
>>но ведь это нужно и на том сервере иметь гигабит свободный чтобы
>>загрузить.
>
>А ты не думай за тот сервер, там может быть что угодно.
>Думай за свой и ищи. Просмотри _все_ логи сервака за те
>четыре часа, может что странное заметишь (хотя сомневаюсь).
>
>З.Ы. Сервер где стоит?

перерыл все логи, ничего необычного, да и тяжко рыть когда там 200 виртуалхостов крутятся.
точно что не на соседние и даже не в своей АС, а ip вычислил он точно потому как сразу в фаерволе заблокировал и все стало на места.
сейчас я вытер его из iptables так вроде не продолжается.
Более на серваке кроме апача ничего нету так что особо и смотреть негде.
Сервак стоит в 20минутах ходьбы от офиса в серверной

>[оверквотинг удален]
>>>man netstat
>>
>>я понимаю, в top и ps я увижу процесс apache2 и все,
>>ну максимум какая загрузка проца, но виртуал хост то не определю
>>:(
>>уже были до этого подобные случаи.
>>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что
>>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.
> Вот тебя заклинило. Попробуем с другой стороны.
> С какого порта шёл трафик?

Попробуйте awstats. Эта штука парсит логи апача, результат представляет очень красиво.

>уже были до этого подобные случаи.
>Не существует ли какойнибудь спец тулы для подобного мониторинга апача? уверен что
>все у кого мало мальски нагружен сервер(хостами) сталкивались с подобным.

lsof