raba34

Extrem hoher Traffic

gelöstFrageUbuntu
Hallo ihr alle,

ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.

Also ist der Datenverkehr nicht durch die Websites veranlasst.

Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?

Vielen Dank!

Ralph
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673122

Url: https://administrator.de/forum/strato-server-traffic-datenuebertragung-673122.html

Ausgedruckt am: 23.06.2025 um 08:06 Uhr

BiberMan
BiberMan 31.05.2025 aktualisiert um 18:17:56 Uhr
Goto Top
Wie kann ich feststellen, wohin die Daten abfließen bzw. wer oder was die Ursache ist?
  • sudo iftop -i <interface>
  • netstat -tup
  • sudo tcpdump -ni <interface>
...


p.s. Freitag war eigentlich gestern face-wink
LordGurke
LordGurke 31.05.2025 um 17:21:36 Uhr
Goto Top
tcpdump besser parametrieren mit:
tcpdump -i any -nn "not port 22"  

Sonst sieht man vor lauter SSH- und DNS-Traffic nicht, was wirklich los ist.
Globetrotter
Globetrotter 31.05.2025 um 21:20:32 Uhr
Goto Top
Zitat von @raba34:


ich habe die Traffic-Übersicht bei meinem Strato-Server durchgesehen und dabei einen extrem hohen ausgehenden Traffic über längere Zeit vorgefunden. Das übersteigt bei weitem die Summe aus allem Traffic der von Plesk verwalteten Domains.

Hi..
Ich gehe davon aus, daß Du den Server als VPS betreibst. Hier wäre villeicht sinnvoll eine OPNSense o.ä. davor zu schalten. Dort siehst Du dann in den Berichten was wohin geht. Ich könnte mir vorstellen, daß einer/mehrere Deiner Domains (Webseiten) eine "Lücke/Lücken" hat und dadurch Daten abgezogen werden.. Die "Crawler" von extern können da schon extremen Traffic verursachen.
Schau da mal nach - viel Erfolg!

Gruss Globe!
nEmEsIs
nEmEsIs 31.05.2025 um 22:37:07 Uhr
Goto Top
Hi

Machst du vll Backups von deine Webseiten auf einen Cloudspeicher oder ähnlich ?

Was verstehst du unter Extremen Traffic
GB? TB ?

FTP Zugriffe, WebDev im Einsatz ?

Große SQL Datenbank die vll abgezogen wurde ?

Mit freundlichen Grüßen
Nemesis
Vision2015
Vision2015 01.06.2025 um 07:43:13 Uhr
Goto Top
Moin...

also wenn dein Server "Extrem hoher Traffic" hat, würde ich das Ding mal vom Netz nehmen!

Also ist der Datenverkehr nicht durch die Websites veranlasst.
wie kommst du zu deiner Annahme?
natürlich kann das CMS etc... Lücken haben... weiter oben wurde dir ja schon beschrieben, wie das zu machen ist!
du solltest auch Kontakt mit deinem Hoster aufnehmen!

Frank
Crusher79
Crusher79 01.06.2025 um 12:55:03 Uhr
Goto Top
CMS, FTP...

Bist du Kunde und nutzt es alleine oder deine Kunden?

Vom Netz nehmen oder bestimmte Kunden deaktivieren. Hätte als Schnellschuss was liefern müssen.

Plesk verwaltet nur Dienste. Kann alles mögliche sein. Mit Ajaxplorer kann man auch Server zu Server übertragen.

Es müssen also nicht mal viele was runterladen. Auch ein einziger kann es damit nach oben treiben.

Natürlich wäre es dann fast Dauerschleife, wenn du nicht gerade hunderte von TB verwaltest.

Aber da fehlen Infos! Bist du reseller und hast Kunden. Oder gehört alles dir und du nutzt das Tool zum Verwalten von deinen eigenen Dingen.

So könnte man auch mutmaßen, dass ein neuer Kunde macht was er will....

Do bleibt aber nur raten!

Beim Server kann man aber an traffic und IPs auch ohne Firewall kommen.

Für ein Gesamtkonzept wäre eine Firewall natürlich von Vorteil.

So raten wir hier nur.

Es gibt aber Techniken wie Ajaxplorer die auf Servern mit hoher Bandbreite auch allein verantwortlich sein könnten. Was es aber auch einfacher macht es abzustellen....

Fällt einen vieles ein. So oder so wäre eine ungeplante Wartung oder Not aus Mittel der Wahl
raba34
raba34 01.06.2025 um 21:42:31 Uhr
Goto Top
Vielen Dank für eure rege Unterstützung.

Ich schaue mir gerade mit iftop den Datenverkehr an. Es gibt auffällig viele Verbindungen zu Adressen der Form "hydrogenXXX-ext2.ahrefs.net", wobei XXX für unterschiedliche Ziffern stehen. Ist hierüber etwas bekannt?

Meine weitere Strategie wird sein, besonders auffällige Hosts zur Firewall hinzuzufügen.

Es werden mit iftop auch lokale Ports angezeigt, die nicht geöffnet sind. Heißt das, dass Versuche auf diesem Port laufen?

Gruß
Ralph
Crusher79
Crusher79 01.06.2025 um 21:58:02 Uhr
Goto Top
SEO...

https://ahrefs.com/de

Ist der traffic denn überhaupt noch hoch?
raba34
raba34 01.06.2025 um 23:09:07 Uhr
Goto Top
Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.

Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
Vision2015
Vision2015 02.06.2025 um 05:55:15 Uhr
Goto Top
Moin...
Zitat von @raba34:

Wie meinst du das? Ich habe das Netz mit der Firewall gesperrt und jetzt tauchen diese Adressen nicht mehr auf.
ok...

Mal sehen. Ich lasse mir jetzt jeden Tag den Trafficbericht zuschicken und werde sehen, ob sich etwas ändert.
das finde ich etwas Naiv, du solltest deinen Server besser mal untersuchen, was da los war,
war das eingehnder oder ausgehender Trafic?
ich vermute, du hast du da was eingefangen...

Frank
Crusher79
Crusher79 02.06.2025 um 08:53:04 Uhr
Goto Top
Komische Subdomains sind normal. Load-Balancer, etc. Daran kann man allein nix böses festmachen!

Daher trivial die Frage, ob der Traffic noch hoch ist und es einzeln oder summiert dann auf diesen Anbieter zu schieben ist!

Sowas funktioniert nur wenn natürlich aktuell auch Datenverbindungen bestehen die den Traffic erhöhen. Status Abfrage einmal am Tag kann man vergessen. Wenn muss das kontinuierlich passieren oder aufgezeichnet werden.

Nehmen wir mal die WatchGuard Firewall. In der GUI werden Top Talkers angezeigt. Akt. wird das Ganze in regelmäßigen Abständen. Man sieht die übertragende menge + akt. Geschwindigkeit.

Erst dann macht es Sinn auf Namen oder IPs los zugehen. Ansonsten wäre die erste Maßnahme Sever vom Netz zu nehmen und mit geeigneten Tools Platten zu scannen.


Nur hoher Traffic und nur komischer Name könnte mal funktionieren - wäre aber mehr geraten! Vernünftige Traffic Berichte, bzw. akt. Status mit Quelle/ Ziel und Top Talkers erleichtert das Ganze.

Geo Block oder bekannte Botnetze blocken können meist nur Firewall Lösungen. Das bekämpft zwar nicht die Ursache, kappt aber mal die Verbindungen.

Du kannst dich nicht zurücklehnen und auf den täglichen Bericht warten!!! Die vorgeschlagenen Linux Tools liefern teils kontinuierlich Werte.

Hier wäre mehr zu tun, um ernsthaft was zu erreichen!
StefanKittel
StefanKittel 02.06.2025 um 09:00:10 Uhr
Goto Top
Moin,

Erfahrungsgemäß sind ca. 30% des Traffics "freundliche" Bots (Google, Amazon, Bing, etc).
Dazu kommen dann noch ?% für unfreundliche Bots wenn man die nicht blockt.

Das Blokieren von unfreundlichen Bots kann sich sehr deutlich finanziel auswirken in Abhängigkeit von den Hosting-Kosten.

Eine WAF ist hier Dein Freund und blockt diese ganz weg.

Stefan
raba34
raba34 02.06.2025 um 10:01:03 Uhr
Goto Top
Hallo @StefanKittel,

vielen Dank für den Hinweis auf eine WAF. Woher bekommt man sie?

Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.

Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?

Gruß
Ralph
raba34
raba34 02.06.2025 um 11:11:46 Uhr
Goto Top
Ich habe in Plesk die Möglichkeit gefunden, modSecurity zu konfigurieren.

Vielleicht hilft mir das weiter.
StefanKittel
StefanKittel 02.06.2025 um 11:14:33 Uhr
Goto Top
Zitat von @raba34:
vielen Dank für den Hinweis auf eine WAF. Woher bekommt man sie?
Da gibt es viele Anbieter.
Meist ist eine WAF recht teuer.
In Plesk ist auch eine eingebaut.

Weil nachgefragt wurde: Der ausgehende Traffic beträgt ca. 10 TB pro Monat und es gibt nur ein paar läppische Websites.
Sehr ihr diesen Wert unter Berücksichtigung der vielen Bots vielleicht sogar als normal an?
Das klingt nicht nach normal.

Web-Traffic müsste man auch in den Access-Logs sehen können.
Da steht glaube ich auch eine Größer der Antwort drin.

Es sei denn es ist etwas unfreundliches was als Dienst Daten nach extern schickt.

Schau als erstes mal in die Access Logs und in Plesk ob Du den Traffic einer Seite zuordnen kannst.
Kann auch sein, dass Jemand unfreundliches dort Datei abgelegt hat die nun in Mails verlinkt werden.

Stefan
BiberMan
BiberMan 02.06.2025 aktualisiert um 11:17:40 Uhr
Goto Top
Wordpress im Einsatz? Zusätzliche Plugins/AddOns?
raba34
Lösung raba34 02.06.2025 um 21:13:46 Uhr
Goto Top
So, das Problem ist (wohl) gelöst.

Ich führe automatisiert eine tägliche vollständige Datensicherung durch (den inkrementellen traue ich nicht). Dadurch verlassen täglich ca. 300 GB den Server und landen auf der Strato-HiDrive. Dies mal 30 Tage genommen und dazu der normale Datenverkehr ergibt ziemlich genau 10 TB.

Ich bin darauf gekommen, als ich in den grafischen Auswertungen kurze Zeiten mit sehr großem Transfer gesehen habe und danach fast Null.

Also spielen externe Einwirkungen keine Rolle. Trotzdem war es interessant, mal zu sehen, was sich so alles rumtreibt face-smile)
Crusher79
Crusher79 02.06.2025 aktualisiert um 21:38:24 Uhr
Goto Top
Daher die Frage ob es anhält.

nload ist auch ein Linux Tool was traffic auf der Konsole darstellt.

Daher war ja die Frage oben ob nur du oder auch Kunden den Server Nutzen.

Visualisierung und zum Beispiel Blick in die cronjobs bringen mitunter schnell Aufschluss.

Wäre auf jeden Fall eine plausible Erklärung. Dennoch kannst du aber weitere Sicherheitstipps trotzdem noch umsetzen. Lohnt sich.
StefanKittel
StefanKittel 03.06.2025 um 00:18:15 Uhr
Goto Top
Hallo,

mein Tip für die Datensicherung ist BORG.
Quasi RSync für binary Daten.

Stefan
raba34
raba34 03.06.2025 um 08:55:23 Uhr
Goto Top
Vielen Dank für den Hinweis. Wo liegt der Vorteil?

Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?

Ralph
BiberMan
BiberMan 03.06.2025 aktualisiert um 09:03:41 Uhr
Goto Top
Ich führe automatisiert eine tägliche vollständige Datensicherung durch
Die Lösung : Ratiopharm 😁
raba34
raba34 03.06.2025 um 09:11:36 Uhr
Goto Top
Ob das etwas genützt hätte? Hinterher ist man (und sind alle) klüger.
StefanKittel
StefanKittel 03.06.2025 um 09:53:06 Uhr
Goto Top
Zitat von @raba34:
Vielen Dank für den Hinweis. Wo liegt der Vorteil?
Es ist nur ein allgemeiner Hinweis als Datensicherungslösung.
Es sichert nur die Differenzen und reduztiert damit die Datenmenge und den Traffic. Damit erhöht sich auf die Vorhaltezeit, reduziert die Kosten für den Storage und schafft, je nach Hosting, eine hohe Wiederstandskraft gegen bösartige Software oder Hacker. Ich nutzt es mit Plesk seit Jahren und es läuft absolut stabil.

Aber mit dem genannten und inzwischen gelösten Problem hat das nichts zu tun, oder?
Nein