Extrem hoher Traffic
Hallo ihr alle,
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673122
Url: https://administrator.de/forum/strato-server-traffic-datenuebertragung-673122.html
Ausgedruckt am: 23.06.2025 um 08:06 Uhr
23 Kommentare
Neuester Kommentar
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
- sudo iftop -i <interface>
- netstat -tup
- sudo tcpdump -ni <interface>
p.s. Freitag war eigentlich gestern
1
tcpdump besser parametrieren mit:
Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
tcpdump -i any -nn "not port 22" Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
1
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Hi..
Ich gehe davon aus, daß Du den Server als VPS betreibst. Hier wäre villeicht sinnvoll eine OPNSense o.ä. davor zu schalten. Dort siehst Du dann in den Berichten was wohin geht. Ich könnte mir vorstellen, daß einer/mehrere Deiner Domains (Webseiten) eine "Lücke/Lücken" hat und dadurch Daten abgezogen werden.. Die "Crawler" von extern können da schon extremen Traffic verursachen.
Schau da mal nach - viel Erfolg!
Gruss Globe!
Hi
Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?
Was verstehst du unter Extremen Traffic
GB? TB ?
FTP Zugriffe, WebDev im Einsatz ?
Große SQL Datenbank die vll abgezogen wurde ?
Mit freundlichen Grüßen
Nemesis
Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?
Was verstehst du unter Extremen Traffic
GB? TB ?
FTP Zugriffe, WebDev im Einsatz ?
Große SQL Datenbank die vll abgezogen wurde ?
Mit freundlichen Grüßen
Nemesis
Moin...
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
Also ist der Datenverkehr nicht durch die Websites veranlasst.
wie kommst du zu deiner Annahme?natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
CMS, FTP...
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Vielen Dank für eure rege Unterstützung.
Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?
Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.
Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?
Gruß
Ralph
Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?
Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.
Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?
Gruß
Ralph
1
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Moin...
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
das finde ich etwas Naiv, du solltest deinen Server besser mal untersuchen, was da los war,
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
Zitat von @raba34:
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
ok...Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
Komische Subdomains sind normal. Load-Balancer, etc. Daran kann man allein nix böses festmachen!
Daher trivial die Frage, ob der Traffic noch hoch ist und es einzeln oder summiert dann auf diesen Anbieter zu schieben ist!
Sowas funktioniert nur wenn natürlich aktuell auch Datenverbindungen bestehen die den Traffic erhöhen. Status Abfrage einmal am Tag kann man vergessen. Wenn muss das kontinuierlich passieren oder aufgezeichnet werden.
Nehmen wir mal die WatchGuard Firewall. In der GUI werden Top Talkers angezeigt. Akt. wird das Ganze in regelmäßigen Abständen. Man sieht die übertragende menge + akt. Geschwindigkeit.
Erst dann macht es Sinn auf Namen oder IPs los zugehen. Ansonsten wäre die erste Maßnahme Sever vom Netz zu nehmen und mit geeigneten Tools Platten zu scannen.
Nur hoher Traffic und nur komischer Name könnte mal funktionieren - wäre aber mehr geraten! Vernünftige Traffic Berichte, bzw. akt. Status mit Quelle/ Ziel und Top Talkers erleichtert das Ganze.
Geo Block oder bekannte Botnetze blocken können meist nur Firewall Lösungen. Das bekämpft zwar nicht die Ursache, kappt aber mal die Verbindungen.
Du kannst dich nicht zurücklehnen und auf den täglichen Bericht warten!!! Die vorgeschlagenen Linux Tools liefern teils kontinuierlich Werte.
Hier wäre mehr zu tun, um ernsthaft was zu erreichen!
Daher trivial die Frage, ob der Traffic noch hoch ist und es einzeln oder summiert dann auf diesen Anbieter zu schieben ist!
Sowas funktioniert nur wenn natürlich aktuell auch Datenverbindungen bestehen die den Traffic erhöhen. Status Abfrage einmal am Tag kann man vergessen. Wenn muss das kontinuierlich passieren oder aufgezeichnet werden.
Nehmen wir mal die WatchGuard Firewall. In der GUI werden Top Talkers angezeigt. Akt. wird das Ganze in regelmäßigen Abständen. Man sieht die übertragende menge + akt. Geschwindigkeit.
Erst dann macht es Sinn auf Namen oder IPs los zugehen. Ansonsten wäre die erste Maßnahme Sever vom Netz zu nehmen und mit geeigneten Tools Platten zu scannen.
Nur hoher Traffic und nur komischer Name könnte mal funktionieren - wäre aber mehr geraten! Vernünftige Traffic Berichte, bzw. akt. Status mit Quelle/ Ziel und Top Talkers erleichtert das Ganze.
Geo Block oder bekannte Botnetze blocken können meist nur Firewall Lösungen. Das bekämpft zwar nicht die Ursache, kappt aber mal die Verbindungen.
Du kannst dich nicht zurücklehnen und auf den täglichen Bericht warten!!! Die vorgeschlagenen Linux Tools liefern teils kontinuierlich Werte.
Hier wäre mehr zu tun, um ernsthaft was zu erreichen!
Moin,
Erfahrungsgemäß sind ca. 30% des Traffics "freundliche" Bots (Google, Amazon, Bing, etc).
Dazu kommen dann noch ?% für unfreundliche Bots wenn man die nicht blockt.
Das Blokieren von unfreundlichen Bots kann sich sehr deutlich finanziel auswirken in Abhängigkeit von den Hosting-Kosten.
Eine WAF ist hier Dein Freund und blockt diese ganz weg.
Stefan
Erfahrungsgemäß sind ca. 30% des Traffics "freundliche" Bots (Google, Amazon, Bing, etc).
Dazu kommen dann noch ?% für unfreundliche Bots wenn man die nicht blockt.
Das Blokieren von unfreundlichen Bots kann sich sehr deutlich finanziel auswirken in Abhängigkeit von den Hosting-Kosten.
Eine WAF ist hier Dein Freund und blockt diese ganz weg.
Stefan
1
Hallo @StefanKittel,
vielen Dank für den Hinweis auf eine WAF. Woher bekommt man sie?
Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.
Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Gruß
Ralph
vielen Dank für den Hinweis auf eine WAF. Woher bekommt man sie?
Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.
Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Gruß
Ralph
Ich habe in Plesk die Möglichkeit gefunden, modSecurity zu konfigurieren.
Vielleicht hilft mir das weiter.
Vielleicht hilft mir das weiter.
Da gibt es viele Anbieter.
Meist ist eine WAF recht teuer.
In Plesk ist auch eine eingebaut.
Web-Traffic müsste man auch in den Access-Logs sehen können.
Da steht glaube ich auch eine Größer der Antwort drin.
Es sei denn es ist etwas unfreundliches was als Dienst Daten nach extern schickt.
Schau als erstes mal in die Access Logs und in Plesk ob Du den Traffic einer Seite zuordnen kannst.
Kann auch sein, dass Jemand unfreundliches dort Datei abgelegt hat die nun in Mails verlinkt werden.
Stefan
Meist ist eine WAF recht teuer.
In Plesk ist auch eine eingebaut.
Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.
Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Das klingt nicht nach normal.Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Web-Traffic müsste man auch in den Access-Logs sehen können.
Da steht glaube ich auch eine Größer der Antwort drin.
Es sei denn es ist etwas unfreundliches was als Dienst Daten nach extern schickt.
Schau als erstes mal in die Access Logs und in Plesk ob Du den Traffic einer Seite zuordnen kannst.
Kann auch sein, dass Jemand unfreundliches dort Datei abgelegt hat die nun in Mails verlinkt werden.
Stefan
Wordpress im Einsatz? Zusätzliche Plugins/AddOns?
So, das Problem ist (wohl) gelöst.
Ich führe automatisiert eine tägliche vollständige Datensicherung durch (den inkrementellen traue ich nicht). Dadurch verlassen täglich ca. 300 GB den Server und landen auf der Strato-HiDrive. Dies mal 30 Tage genommen und dazu der normale Datenverkehr ergibt ziemlich genau 10 TB.
Ich bin darauf gekommen, als ich in den grafischen Auswertungen kurze Zeiten mit sehr großem Transfer gesehen habe und danach fast Null.
Also spielen externe Einwirkungen keine Rolle. Trotzdem war es interessant, mal zu sehen, was sich so alles rumtreibt
)
Ich führe automatisiert eine tägliche vollständige Datensicherung durch (den inkrementellen traue ich nicht). Dadurch verlassen täglich ca. 300 GB den Server und landen auf der Strato-HiDrive. Dies mal 30 Tage genommen und dazu der normale Datenverkehr ergibt ziemlich genau 10 TB.
Ich bin darauf gekommen, als ich in den grafischen Auswertungen kurze Zeiten mit sehr großem Transfer gesehen habe und danach fast Null.
Also spielen externe Einwirkungen keine Rolle. Trotzdem war es interessant, mal zu sehen, was sich so alles rumtreibt
)
Daher die Frage ob es anhält.
nload ist auch ein Linux Tool was traffic auf der Konsole darstellt.
Daher war ja die Frage oben ob nur du oder auch Kunden den Server Nutzen.
Visualisierung und zum Beispiel Blick in die cronjobs bringen mitunter schnell Aufschluss.
Wäre auf jeden Fall eine plausible Erklärung. Dennoch kannst du aber weitere Sicherheitstipps trotzdem noch umsetzen. Lohnt sich.
nload ist auch ein Linux Tool was traffic auf der Konsole darstellt.
Daher war ja die Frage oben ob nur du oder auch Kunden den Server Nutzen.
Visualisierung und zum Beispiel Blick in die cronjobs bringen mitunter schnell Aufschluss.
Wäre auf jeden Fall eine plausible Erklärung. Dennoch kannst du aber weitere Sicherheitstipps trotzdem noch umsetzen. Lohnt sich.
Hallo,
mein Tip für die Datensicherung ist BORG.
Quasi RSync für binary Daten.
Stefan
mein Tip für die Datensicherung ist BORG.
Quasi RSync für binary Daten.
Stefan
1
Vielen Dank für den Hinweis. Wo liegt der Vorteil?
Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?
Ralph
Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?
Ralph
Ich führe automatisiert eine tägliche vollständige Datensicherung durch
Die Lösung : Ratiopharm 😁2
Ob das etwas genützt hätte? Hinterher ist man (und sind alle) klüger.
Es ist nur ein allgemeiner Hinweis als Datensicherungslösung.
Es sichert nur die Differenzen und reduztiert damit die Datenmenge und den Traffic. Damit erhöht sich auf die Vorhaltezeit, reduziert die Kosten für den Storage und schafft, je nach Hosting, eine hohe Wiederstandskraft gegen bösartige Software oder Hacker. Ich nutzt es mit Plesk seit Jahren und es läuft absolut stabil.
Es sichert nur die Differenzen und reduztiert damit die Datenmenge und den Traffic. Damit erhöht sich auf die Vorhaltezeit, reduziert die Kosten für den Storage und schafft, je nach Hosting, eine hohe Wiederstandskraft gegen bösartige Software oder Hacker. Ich nutzt es mit Plesk seit Jahren und es läuft absolut stabil.
Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?
Nein1
