AlOne
Advanced Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всё-таки хочу поделиться с общественностью интересным случаем, о котором я уже писал NathanAdler'у в ЛС, но природа сего события так и осталась тайной.
В общем дело было так: почти 2 года работает 9.0.0 под Ubuntu 14.04 и никогда не превышал предоплаченный трафик. И вдруг приходит счёт за превышение трафика аж на 3 ТБ. Это при том, что объём хранилища столько не вместит. Оказалось, что такой траф гнался постоянно с февраля месяца, но у провайдера неправильно был настроен биллинг и исходящий (а дело было именно в нём) трафик не считался. А тут поправили и понеслось... В логах всё спокойно, спам не слался (да и за такой период мы бы за спам уже во всех блэклистах светились). А исходняк, судя по убунтовским графикам, реально прёт.
netstat не видит никаких левых сетевых процессов, но показал пару адресов из одного диапазона, на которые ушло самое большое кол-во пакетов (при этом активным процессом был mailserver). При проверке сих адресов оказалось, что это некие Mail.ru'шные ресурсы, находящиеся в Нидерландах и, кажется, они отвечают за мэйловские игрушки (всякие там варфейсы и иже с ними). Всем им соответствовали доменные имена вида collector##.my.com. Дропнул output трафик на весь этот диапазон - исходняк исчез. На всякий случай проверил хождение почты на/с @mail.ru - работает нормально.
Вот уже почти месяц трафик в пределах нормы и зачесались у меня ладошки всё же почухать его природу. Убрал из iptables то самое правило и... никакого такого трафика не возникло. ОК, ребутнул сервак - нет левого исходняка. Подождал минут 15 - нету. Правило вернул на место, а то вдруг появится снова. Что как уязвимость какая имеется, но в данный момент не юзается?
На всякий случай укажу дропнутый диапазон, может его всем стоит похерить во-избежание подобных ситуаций? 185.30.176.0/22 |
