forum.opennet.ru - "Помогите, пожалуйста!" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите, пожалуйста!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите, пожалуйста!"
Сообщение от Kaiser on 06-Фев-03, 11:22 (MSK)
В прошлом мессяце у нас что-то случилось с сервером, в следствие чего за 20 часов ушло 32 гига, буквально в никуда! Сервер был только 3 дня как подключен, на нем кроме софта (линукс шляпный 7.3) больше СОВЕРШЕННО ничего не было (т.е. на всем винте было от силы гиг, не более), не было и доменного имени - т.е. о сервере практически никто не знал, так что вероятность взлома маловероятна. Единственное, что известно - это вот такие сообщения об ошибках в системном логе, которые шли и после того, как сервер был уже физически отключен от свича: Jan 19 02:58:33 vladm kernel: Neighbour table overflow. Jan 19 02:58:33 vladm last message repeated 9 times Jan 19 02:58:38 vladm kernel: NET: 543 messages suppressed. Jan 19 02:58:38 vladm kernel: Neighbour table overflow. Jan 19 02:58:43 vladm kernel: NET: 999 messages suppressed. Jan 19 02:58:43 vladm kernel: Neighbour table overflow. Jan 19 02:58:48 vladm kernel: NET: 1799 messages suppressed. Jan 19 02:58:48 vladm kernel: Neighbour table overflow. Jan 19 02:58:53 vladm kernel: NET: 799 messages suppressed. Jan 19 02:58:53 vladm kernel: Neighbour table overflow. Jan 19 02:58:58 vladm kernel: NET: 1199 messages suppressed. Jan 19 02:58:58 vladm kernel: Neighbour table overflow. Jan 19 02:59:04 vladm kernel: NET: 799 messages suppressed. Jan 19 02:59:04 vladm kernel: Neighbour table overflow. Jan 19 02:59:08 vladm kernel: NET: 967 messages suppressed. Jan 19 02:59:08 vladm kernel: Neighbour table overflow. Jan 19 02:59:13 vladm kernel: NET: 599 messages suppressed. Jan 19 02:59:13 vladm kernel: Neighbour table overflow. Jan 19 02:59:18 vladm kernel: NET: 1499 messages suppressed. Jan 19 02:59:18 vladm kernel: Neighbour table overflow. Jan 19 02:59:23 vladm kernel: NET: 1099 messages suppressed. Что могло вызвать такой лавинный трафик, который даже аппаратура прова не могла контроллировать до тех пор, пока сервер физически не отрубили от сети? На сервере был запущен только Апач (даже не настроенный, выдающий только тестовую страничку) и ProFTPD - больше ничего. Это ОЧЕНЬ важно знать, ибо грозятся повесить деньги за траффик на меня...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Помогите, пожалуйста!, AD, 11:41 , 06-Фев-03, (1)
RE: Помогите, пожалуйста!, dawnshade, 11:41 , 06-Фев-03, (2)
- RE: Помогите, пожалуйста!, Kaiser, 13:24 , 06-Фев-03, (3)
  - RE: Помогите, пожалуйста!, Alex Korshunov, 13:41 , 06-Фев-03, (4)
    - RE: Помогите, пожалуйста!, Kaiser, 13:47 , 06-Фев-03, (5)
      - RE: Помогите, пожалуйста!, Alex Korshunov, 14:10 , 06-Фев-03, (6)
        
        RE: Помогите, пожалуйста!, Kaiser, 14:33 , 06-Фев-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Помогите, пожалуйста!"

Сообщение от AD on 06-Фев-03, 11:41  (MSK)

http://tranq.dorms.spbu.ru/lg/issue65/tag/12.html
═Что означает сообщение "neighbour table overflow"? Появляется примерно каждые полторы минуты и, порой, Linux сильно начинает тормозить.
Это означает, что arp-кэш переполняется, потому что ваша машина не может сказать, кто находится в ее собственной подсети. Это следствие неправильной настройки сети (проверьте свой IP-адрес, маску подсети и прочее), проверьте, активизируется ли интерфейс lo (можно узнать с помощью ifconfig).

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Помогите, пожалуйста!"

Сообщение от dawnshade on 06-Фев-03, 11:41  (MSK)

>В прошлом мессяце у нас что-то случилось с сервером, в следствие чего
>за 20 часов ушло 32 гига, буквально в никуда! Сервер был
>только 3 дня как подключен, на нем кроме софта (линукс шляпный
>7.3) больше СОВЕРШЕННО ничего не было (т.е. на всем винте было
>от силы гиг, не более), не было и доменного имени -
>т.е. о сервере практически никто не знал, так что вероятность взлома
>маловероятна. Единственное, что известно - это вот такие сообщения об ошибках
>в системном логе, которые шли и после того, как сервер был
>уже физически отключен от свича:
>
>Jan 19 02:58:33 vladm kernel: Neighbour table overflow.
>Jan 19 02:58:33 vladm last message repeated 9 times
>Jan 19 02:58:38 vladm kernel: NET: 543 messages suppressed.
>Jan 19 02:58:38 vladm kernel: Neighbour table overflow.
>Jan 19 02:58:43 vladm kernel: NET: 999 messages suppressed.
>Jan 19 02:58:43 vladm kernel: Neighbour table overflow.
>Jan 19 02:58:48 vladm kernel: NET: 1799 messages suppressed.
>Jan 19 02:58:48 vladm kernel: Neighbour table overflow.
>Jan 19 02:58:53 vladm kernel: NET: 799 messages suppressed.
>Jan 19 02:58:53 vladm kernel: Neighbour table overflow.
>Jan 19 02:58:58 vladm kernel: NET: 1199 messages suppressed.
>Jan 19 02:58:58 vladm kernel: Neighbour table overflow.
>Jan 19 02:59:04 vladm kernel: NET: 799 messages suppressed.
>Jan 19 02:59:04 vladm kernel: Neighbour table overflow.
>Jan 19 02:59:08 vladm kernel: NET: 967 messages suppressed.
>Jan 19 02:59:08 vladm kernel: Neighbour table overflow.
>Jan 19 02:59:13 vladm kernel: NET: 599 messages suppressed.
>Jan 19 02:59:13 vladm kernel: Neighbour table overflow.
>Jan 19 02:59:18 vladm kernel: NET: 1499 messages suppressed.
>Jan 19 02:59:18 vladm kernel: Neighbour table overflow.
>Jan 19 02:59:23 vladm kernel: NET: 1099 messages suppressed.
>
>Что могло вызвать такой лавинный трафик, который даже аппаратура прова не могла
>контроллировать до тех пор, пока сервер физически не отрубили от сети?
>На сервере был запущен только Апач (даже не настроенный, выдающий только
>тестовую страничку) и ProFTPD - больше ничего. Это ОЧЕНЬ важно знать,
>ибо грозятся повесить деньги за траффик на меня...

Ессно. Линухи надо хотябы иногда патчить. Скорее всего был старый апач.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Помогите, пожалуйста!"

Сообщение от Kaiser on 06-Фев-03, 13:24  (MSK)

>
>Ессно. Линухи надо хотябы иногда патчить. Скорее всего был старый апач.
Не такой уж и старый - 1.3.27, Тем более - в логах апача за в ту ночь вообще никаких обращений к нему не зафиксировано. Равно как и обращений к ftp.
К тому же - до этого он проработал 3 дня и после этого - по сегодня работает нормально, следовательно - вряд ли он настрон неверно. Да и как он мог 20 часов подряд слать что-то (и, не менее интересно - куда?) со скоростью 7Mbit/sec, игнорируя все попытки его заглушить? Он не обратил внимание даже когда поставили файервол с REJECT на траффик от него, продолжал что-то куда-то слать...
Мог ли это быть аппаратный сбой (проблема с сетевухой, матертью, роутером, etc.), или программный? Мог ли это быть взлом?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Помогите, пожалуйста!"

Сообщение от Alex Korshunov on 06-Фев-03, 13:41  (MSK)

Добрый день.
Может я чего не понимаю, но как он мог куда-то вообще что-либо слать, если файрволом было всё закрыто? Или на самом деле открыто было?
wbr, Angel Keeper. http://www.triza.ru

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Помогите, пожалуйста!"

Сообщение от Kaiser on 06-Фев-03, 13:47  (MSK)

>Добрый день.
>
>Может я чего не понимаю, но как он мог куда-то вообще что-либо
>слать, если файрволом было всё закрыто? Или на самом деле открыто
>было?
>
>wbr, Angel Keeper. http://www.triza.ru
На вход были открыты только 80 и 21, ssh был открыт только для нашего офисного IP. На выход было открыто все - машина на шкворике висит одна, так что закрывать выход посчитали необязательным.
Что самое занимательное - этот вал траффика в логах, кроме указанных выше ошибок - никак не отобразился. Сервак был поставлен без анализа и подсчета траффика (шибко торопило нас начальство), поэтому сейчас сложно сказать куда и по какому порту он это слал...

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Помогите, пожалуйста!"

Сообщение от Alex Korshunov on 06-Фев-03, 14:10  (MSK)

Добрый день.
Закрывать надо всегда... но это уже не важно. Тогда остается только просить провайдера о логах, чтобы разобраться кто собственно вообще делал этот трафик. Может эта машина вообще не имеет никакого отношения к нему.
P.S. В похожей ситуации как-то оказалось, что трафик просто немерянный по размеру был сделан с помощью ping flood'а кем и зачем - осталось не выясненным.
wbr, Angel Keeper. http://www.triza.ru

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Помогите, пожалуйста!"

Сообщение от Kaiser on 06-Фев-03, 14:33  (MSK)

>Добрый день.
>
>Закрывать надо всегда... но это уже не важно. Тогда остается только просить
>провайдера о логах, чтобы разобраться кто собственно вообще делал этот трафик.
>Может эта машина вообще не имеет никакого отношения к нему.
>
Угу, в Москву уже направлен запрос на статистику, где все, собственно, и подсчитывается... На результаты вся надежда...
>P.S. В похожей ситуации как-то оказалось, что трафик просто немерянный по размеру
>был сделан с помощью ping flood'а кем и зачем - осталось
>не выясненным.
Что ж, большое спасибо за помощь!

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Помогите, пожалуйста!"
Сообщение от AD on 06-Фев-03, 11:41 (MSK)
http://tranq.dorms.spbu.ru/lg/issue65/tag/12.html ═Что означает сообщение "neighbour table overflow"? Появляется примерно каждые полторы минуты и, порой, Linux сильно начинает тормозить. Это означает, что arp-кэш переполняется, потому что ваша машина не может сказать, кто находится в ее собственной подсети. Это следствие неправильной настройки сети (проверьте свой IP-адрес, маску подсети и прочее), проверьте, активизируется ли интерфейс lo (можно узнать с помощью ifconfig).
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: Помогите, пожалуйста!"
Сообщение от dawnshade on 06-Фев-03, 11:41 (MSK)
>В прошлом мессяце у нас что-то случилось с сервером, в следствие чего >за 20 часов ушло 32 гига, буквально в никуда! Сервер был >только 3 дня как подключен, на нем кроме софта (линукс шляпный >7.3) больше СОВЕРШЕННО ничего не было (т.е. на всем винте было >от силы гиг, не более), не было и доменного имени - >т.е. о сервере практически никто не знал, так что вероятность взлома >маловероятна. Единственное, что известно - это вот такие сообщения об ошибках >в системном логе, которые шли и после того, как сервер был >уже физически отключен от свича: > >Jan 19 02:58:33 vladm kernel: Neighbour table overflow. >Jan 19 02:58:33 vladm last message repeated 9 times >Jan 19 02:58:38 vladm kernel: NET: 543 messages suppressed. >Jan 19 02:58:38 vladm kernel: Neighbour table overflow. >Jan 19 02:58:43 vladm kernel: NET: 999 messages suppressed. >Jan 19 02:58:43 vladm kernel: Neighbour table overflow. >Jan 19 02:58:48 vladm kernel: NET: 1799 messages suppressed. >Jan 19 02:58:48 vladm kernel: Neighbour table overflow. >Jan 19 02:58:53 vladm kernel: NET: 799 messages suppressed. >Jan 19 02:58:53 vladm kernel: Neighbour table overflow. >Jan 19 02:58:58 vladm kernel: NET: 1199 messages suppressed. >Jan 19 02:58:58 vladm kernel: Neighbour table overflow. >Jan 19 02:59:04 vladm kernel: NET: 799 messages suppressed. >Jan 19 02:59:04 vladm kernel: Neighbour table overflow. >Jan 19 02:59:08 vladm kernel: NET: 967 messages suppressed. >Jan 19 02:59:08 vladm kernel: Neighbour table overflow. >Jan 19 02:59:13 vladm kernel: NET: 599 messages suppressed. >Jan 19 02:59:13 vladm kernel: Neighbour table overflow. >Jan 19 02:59:18 vladm kernel: NET: 1499 messages suppressed. >Jan 19 02:59:18 vladm kernel: Neighbour table overflow. >Jan 19 02:59:23 vladm kernel: NET: 1099 messages suppressed. > >Что могло вызвать такой лавинный трафик, который даже аппаратура прова не могла >контроллировать до тех пор, пока сервер физически не отрубили от сети? >На сервере был запущен только Апач (даже не настроенный, выдающий только >тестовую страничку) и ProFTPD - больше ничего. Это ОЧЕНЬ важно знать, >ибо грозятся повесить деньги за траффик на меня... Ессно. Линухи надо хотябы иногда патчить. Скорее всего был старый апач.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Помогите, пожалуйста!"
	Сообщение от Kaiser on 06-Фев-03, 13:24 (MSK)
	> >Ессно. Линухи надо хотябы иногда патчить. Скорее всего был старый апач. Не такой уж и старый - 1.3.27, Тем более - в логах апача за в ту ночь вообще никаких обращений к нему не зафиксировано. Равно как и обращений к ftp. К тому же - до этого он проработал 3 дня и после этого - по сегодня работает нормально, следовательно - вряд ли он настрон неверно. Да и как он мог 20 часов подряд слать что-то (и, не менее интересно - куда?) со скоростью 7Mbit/sec, игнорируя все попытки его заглушить? Он не обратил внимание даже когда поставили файервол с REJECT на траффик от него, продолжал что-то куда-то слать... Мог ли это быть аппаратный сбой (проблема с сетевухой, матертью, роутером, etc.), или программный? Мог ли это быть взлом?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Помогите, пожалуйста!"
	Сообщение от Alex Korshunov on 06-Фев-03, 13:41 (MSK)
	Добрый день. Может я чего не понимаю, но как он мог куда-то вообще что-либо слать, если файрволом было всё закрыто? Или на самом деле открыто было? wbr, Angel Keeper. http://www.triza.ru
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Помогите, пожалуйста!"
	Сообщение от Kaiser on 06-Фев-03, 13:47 (MSK)
	>Добрый день. > >Может я чего не понимаю, но как он мог куда-то вообще что-либо >слать, если файрволом было всё закрыто? Или на самом деле открыто >было? > >wbr, Angel Keeper. http://www.triza.ru На вход были открыты только 80 и 21, ssh был открыт только для нашего офисного IP. На выход было открыто все - машина на шкворике висит одна, так что закрывать выход посчитали необязательным. Что самое занимательное - этот вал траффика в логах, кроме указанных выше ошибок - никак не отобразился. Сервак был поставлен без анализа и подсчета траффика (шибко торопило нас начальство), поэтому сейчас сложно сказать куда и по какому порту он это слал...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Помогите, пожалуйста!"
	Сообщение от Alex Korshunov on 06-Фев-03, 14:10 (MSK)
	Добрый день. Закрывать надо всегда... но это уже не важно. Тогда остается только просить провайдера о логах, чтобы разобраться кто собственно вообще делал этот трафик. Может эта машина вообще не имеет никакого отношения к нему. P.S. В похожей ситуации как-то оказалось, что трафик просто немерянный по размеру был сделан с помощью ping flood'а кем и зачем - осталось не выясненным. wbr, Angel Keeper. http://www.triza.ru
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Помогите, пожалуйста!"
	Сообщение от Kaiser on 06-Фев-03, 14:33 (MSK)
	>Добрый день. > >Закрывать надо всегда... но это уже не важно. Тогда остается только просить >провайдера о логах, чтобы разобраться кто собственно вообще делал этот трафик. >Может эта машина вообще не имеет никакого отношения к нему. > Угу, в Москву уже направлен запрос на статистику, где все, собственно, и подсчитывается... На результаты вся надежда... >P.S. В похожей ситуации как-то оказалось, что трафик просто немерянный по размеру >был сделан с помощью ping flood'а кем и зачем - осталось >не выясненным. Что ж, большое спасибо за помощь!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх