Extrem hoher Traffic
Hallo ihr alle,
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673122
Url: https://administrator.de/forum/strato-server-traffic-datenuebertragung-673122.html
Ausgedruckt am: 02.06.2025 um 03:06 Uhr
10 Kommentare
Neuester Kommentar
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
- sudo iftop -i <interface>
- netstat -tup
- sudo tcpdump -ni <interface>
p.s. Freitag war eigentlich gestern
1
tcpdump besser parametrieren mit:
Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
tcpdump -i any -nn "not port 22" Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
1
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Hi..
Ich gehe davon aus, daß Du den Server als VPS betreibst. Hier wäre villeicht sinnvoll eine OPNSense o.ä. davor zu schalten. Dort siehst Du dann in den Berichten was wohin geht. Ich könnte mir vorstellen, daß einer/mehrere Deiner Domains (Webseiten) eine "Lücke/Lücken" hat und dadurch Daten abgezogen werden.. Die "Crawler" von extern können da schon extremen Traffic verursachen.
Schau da mal nach - viel Erfolg!
Gruss Globe!
Hi
Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?
Was verstehst du unter Extremen Traffic
GB? TB ?
FTP Zugriffe, WebDev im Einsatz ?
Große SQL Datenbank die vll abgezogen wurde ?
Mit freundlichen Grüßen
Nemesis
Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?
Was verstehst du unter Extremen Traffic
GB? TB ?
FTP Zugriffe, WebDev im Einsatz ?
Große SQL Datenbank die vll abgezogen wurde ?
Mit freundlichen Grüßen
Nemesis
Moin...
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
Also ist der Datenverkehr nicht durch die Websites veranlasst.
wie kommst du zu deiner Annahme?natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
CMS, FTP...
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Vielen Dank für eure rege Unterstützung.
Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?
Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.
Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?
Gruß
Ralph
Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?
Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.
Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?
Gruß
Ralph
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Moin...
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
das finde ich etwas Naiv, du solltest deinen Server besser mal untersuchen, was da los war,
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
Zitat von @raba34:
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
ok...Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
