Extrem hoher Traffic
Hallo ihr alle,
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Also ist der Datenverkehr nicht durch die Websites veranlasst.
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
Vielen Dank!
Ralph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673122
Url: https://administrator.de/forum/strato-server-traffic-datenuebertragung-673122.html
Ausgedruckt am: 23.06.2025 um 08:06 Uhr
23 Kommentare
Neuester Kommentar
ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.
Hi..
Ich gehe davon aus, daß Du den Server als VPS betreibst. Hier wäre villeicht sinnvoll eine OPNSense o.ä. davor zu schalten. Dort siehst Du dann in den Berichten was wohin geht. Ich könnte mir vorstellen, daß einer/mehrere Deiner Domains (Webseiten) eine "Lücke/Lücken" hat und dadurch Daten abgezogen werden.. Die "Crawler" von extern können da schon extremen Traffic verursachen.
Schau da mal nach - viel Erfolg!
Gruss Globe!
Moin...
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!
Also ist der Datenverkehr nicht durch die Websites veranlasst.
wie kommst du zu deiner Annahme?natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!
Frank
CMS, FTP...
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Bist du Kunde und nutzt es alleine oder deine Kunden?
Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.
Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.
Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.
Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.
Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.
So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....
Do bleibt aber nur raten!
Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.
Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.
So raten wir hier nur.
Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....
Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
Moin...
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
das finde ich etwas Naiv, du solltest deinen Server besser mal untersuchen, was da los war,
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
Zitat von @raba34:
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
ok...Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...
Frank
Komische Subdomains sind normal. Load-Balancer, etc. Daran kann man allein nix böses festmachen!
Daher trivial die Frage, ob der Traffic noch hoch ist und es einzeln oder summiert dann auf diesen Anbieter zu schieben ist!
Sowas funktioniert nur wenn natürlich aktuell auch Datenverbindungen bestehen die den Traffic erhöhen. Status Abfrage einmal am Tag kann man vergessen. Wenn muss das kontinuierlich passieren oder aufgezeichnet werden.
Nehmen wir mal die WatchGuard Firewall. In der GUI werden Top Talkers angezeigt. Akt. wird das Ganze in regelmäßigen Abständen. Man sieht die übertragende menge + akt. Geschwindigkeit.
Erst dann macht es Sinn auf Namen oder IPs los zugehen. Ansonsten wäre die erste Maßnahme Sever vom Netz zu nehmen und mit geeigneten Tools Platten zu scannen.
Nur hoher Traffic und nur komischer Name könnte mal funktionieren - wäre aber mehr geraten! Vernünftige Traffic Berichte, bzw. akt. Status mit Quelle/ Ziel und Top Talkers erleichtert das Ganze.
Geo Block oder bekannte Botnetze blocken können meist nur Firewall Lösungen. Das bekämpft zwar nicht die Ursache, kappt aber mal die Verbindungen.
Du kannst dich nicht zurücklehnen und auf den täglichen Bericht warten!!! Die vorgeschlagenen Linux Tools liefern teils kontinuierlich Werte.
Hier wäre mehr zu tun, um ernsthaft was zu erreichen!
Daher trivial die Frage, ob der Traffic noch hoch ist und es einzeln oder summiert dann auf diesen Anbieter zu schieben ist!
Sowas funktioniert nur wenn natürlich aktuell auch Datenverbindungen bestehen die den Traffic erhöhen. Status Abfrage einmal am Tag kann man vergessen. Wenn muss das kontinuierlich passieren oder aufgezeichnet werden.
Nehmen wir mal die WatchGuard Firewall. In der GUI werden Top Talkers angezeigt. Akt. wird das Ganze in regelmäßigen Abständen. Man sieht die übertragende menge + akt. Geschwindigkeit.
Erst dann macht es Sinn auf Namen oder IPs los zugehen. Ansonsten wäre die erste Maßnahme Sever vom Netz zu nehmen und mit geeigneten Tools Platten zu scannen.
Nur hoher Traffic und nur komischer Name könnte mal funktionieren - wäre aber mehr geraten! Vernünftige Traffic Berichte, bzw. akt. Status mit Quelle/ Ziel und Top Talkers erleichtert das Ganze.
Geo Block oder bekannte Botnetze blocken können meist nur Firewall Lösungen. Das bekämpft zwar nicht die Ursache, kappt aber mal die Verbindungen.
Du kannst dich nicht zurücklehnen und auf den täglichen Bericht warten!!! Die vorgeschlagenen Linux Tools liefern teils kontinuierlich Werte.
Hier wäre mehr zu tun, um ernsthaft was zu erreichen!
Moin,
Erfahrungsgemäß sind ca. 30% des Traffics "freundliche" Bots (Google, Amazon, Bing, etc).
Dazu kommen dann noch ?% für unfreundliche Bots wenn man die nicht blockt.
Das Blokieren von unfreundlichen Bots kann sich sehr deutlich finanziel auswirken in Abhängigkeit von den Hosting-Kosten.
Eine WAF ist hier Dein Freund und blockt diese ganz weg.
Stefan
Erfahrungsgemäß sind ca. 30% des Traffics "freundliche" Bots (Google, Amazon, Bing, etc).
Dazu kommen dann noch ?% für unfreundliche Bots wenn man die nicht blockt.
Das Blokieren von unfreundlichen Bots kann sich sehr deutlich finanziel auswirken in Abhängigkeit von den Hosting-Kosten.
Eine WAF ist hier Dein Freund und blockt diese ganz weg.
Stefan
Da gibt es viele Anbieter.
Meist ist eine WAF recht teuer.
In Plesk ist auch eine eingebaut.
Web-Traffic müsste man auch in den Access-Logs sehen können.
Da steht glaube ich auch eine Größer der Antwort drin.
Es sei denn es ist etwas unfreundliches was als Dienst Daten nach extern schickt.
Schau als erstes mal in die Access Logs und in Plesk ob Du den Traffic einer Seite zuordnen kannst.
Kann auch sein, dass Jemand unfreundliches dort Datei abgelegt hat die nun in Mails verlinkt werden.
Stefan
Meist ist eine WAF recht teuer.
In Plesk ist auch eine eingebaut.
Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.
Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Das klingt nicht nach normal.Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Web-Traffic müsste man auch in den Access-Logs sehen können.
Da steht glaube ich auch eine Größer der Antwort drin.
Es sei denn es ist etwas unfreundliches was als Dienst Daten nach extern schickt.
Schau als erstes mal in die Access Logs und in Plesk ob Du den Traffic einer Seite zuordnen kannst.
Kann auch sein, dass Jemand unfreundliches dort Datei abgelegt hat die nun in Mails verlinkt werden.
Stefan
Daher die Frage ob es anhält.
nload ist auch ein Linux Tool was traffic auf der Konsole darstellt.
Daher war ja die Frage oben ob nur du oder auch Kunden den Server Nutzen.
Visualisierung und zum Beispiel Blick in die cronjobs bringen mitunter schnell Aufschluss.
Wäre auf jeden Fall eine plausible Erklärung. Dennoch kannst du aber weitere Sicherheitstipps trotzdem noch umsetzen. Lohnt sich.
nload ist auch ein Linux Tool was traffic auf der Konsole darstellt.
Daher war ja die Frage oben ob nur du oder auch Kunden den Server Nutzen.
Visualisierung und zum Beispiel Blick in die cronjobs bringen mitunter schnell Aufschluss.
Wäre auf jeden Fall eine plausible Erklärung. Dennoch kannst du aber weitere Sicherheitstipps trotzdem noch umsetzen. Lohnt sich.
Ich führe automatisiert eine tägliche vollständige Datensicherung durch
Die Lösung : Ratiopharm 😁
Es ist nur ein allgemeiner Hinweis als Datensicherungslösung.
Es sichert nur die Differenzen und reduztiert damit die Datenmenge und den Traffic. Damit erhöht sich auf die Vorhaltezeit, reduziert die Kosten für den Storage und schafft, je nach Hosting, eine hohe Wiederstandskraft gegen bösartige Software oder Hacker. Ich nutzt es mit Plesk seit Jahren und es läuft absolut stabil.
Es sichert nur die Differenzen und reduztiert damit die Datenmenge und den Traffic. Damit erhöht sich auf die Vorhaltezeit, reduziert die Kosten für den Storage und schafft, je nach Hosting, eine hohe Wiederstandskraft gegen bösartige Software oder Hacker. Ich nutzt es mit Plesk seit Jahren und es läuft absolut stabil.
Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?
Nein