Исходящий трафик на постоянной скорости с непонятнной регулярностью

[chemtech]

shushpanchik,
У вас много программ смотрят наружу.
Пересмотрите конфиги программ и укажите, какие интерфейсы слушать.
Да, лучше конечно сканировать извне c другого сервера

Код: [Выделить]

sudo nmap -sT -O внешний IPgrep -v ":80" уберет строки, содержащие  :80

Код: [Выделить]

netstat -nulp | grep -v ":80"

Код: [Выделить]

netstat -anp | grep -v ":80"

Код: [Выделить]

netstat -naptu | grep -v ":80"

[shushpanchik]

Это nmap с другого сервера через интернет

(Нажмите, чтобы показать/скрыть)

root@gate:~# nmap -sT -O xxx.xxx.xxx.xxx

Starting Nmap 5.00 ( http://nmap.org ) at 2014-12-12 10:14 EET
Interesting ports on xxxx.xxxxxx.xxx.xx (xxx.xxx.xxx.xxx):
Not shown: 991 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   filtered smtp
53/tcp   open     domain
80/tcp   open     http
111/tcp  open     rpcbind
443/tcp  open     https
2049/tcp open     nfs
4899/tcp open     radmin
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.00%D=12/12%OT=21%CT=1%CU=35263%PV=N%DS=1%G=Y%TM=548AA3ED%P=i686
OS:-pc-linux-gnu)SEQ(SP=CC%GCD=1%ISR=CF%TI=Z%CI=Z%II=I%TS=7)OPS(O1=M5ACST11
OS:NW7%O2=M5ACST11NW7%O3=M5ACNNT11NW7%O4=M5ACST11NW7%O5=M5ACST11NW7%O6=M5AC
OS:ST11)WIN(W1=1680%W2=1680%W3=1680%W4=1680%W5=1680%W6=1680)ECN(R=Y%DF=Y%T=
OS:40%W=16B0%O=M5ACNNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T2
OS:(R=N)T3(R=Y%DF=Y%T=40%W=1680%S=O%A=S+%F=AS%O=M5ACST11NW7%RD=0%Q=)T4(R=Y%
OS:DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%
OS:O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%
OS:W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%
OS:RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.47 seconds
root@gate:~#

Меня смущают записи rpcbind и nfs.

Еще в mount вот такое вот появилось:

Код: [Выделить]

rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
nfsd on /proc/fs/nfsd type nfsd (rw)
Как-то вот непонятное для меня это. Что связано с nfs ничего не ставилось. На практически идентичном втором сервере такого нет. Да и изначально на проблемном сервере этого не было.

[chemtech]

shushpanchik,
Рекомендую
Руководство по Ubuntu Server

Покажите

Код: [Выделить]

/etc/exportsПользователь решил продолжить мысль 12 Декабря 2014, 11:39:32:Еще рекомендую:
Iptables

[shushpanchik]

Спасибо, Ваши рекомндации я конечно же изучал. И по мере того что мне было необходимо в работе - так же изучил в нужном объеме.

(Нажмите, чтобы показать/скрыть)

/mnt/disk0/SHARE/ISO 192.168.100.254(ro,async,no_subtree_check,insecure,nohide,all_squash,anonuid=1000,anongid=1000)

192.168.100.254 - ESXi хост на ProLiant DL360G5, и он никак не настроен на совместную работу с шлюзом (проблемным сервером) кроме как один сетевой интерфейс пролианта смотрит на сеть до шлюза (провайдер) а второй интерфейс смотрит на сеть после шлюза (собственно в локалку). Интерфейсы естесственно изолированы друг от друга. Ни в одной виртуалке, поднятой на хосте, интерфейсы тоже не пересекаются. Никакие взаимодействия ESXi с дисковой подсистемой шлюза не настраивались и не предусматривались.
Но грешу на один момент. Когда-то пробовал поднять iSCSI. И кажется по своей глупости поднимал его именно на шлюзе, ибо там есть некоторое дисковое пространство, которым можно было поиграться а свободной железяки не было. Но после экспериментов вроде как все удалил со шлюза. Теперь я в последнем сомневаюсь.

[chemtech]

shushpanchik,
Посмотрите в папке /etc/default/ различные файлы (nfs и другие). Там может быть можно указать какие интерфейсы слушать.

[shushpanchik]

Дело в том, что слушать ничего не нужно, что касается NFS вообще.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# If you do not set values for the NEED_ options, they will be attempted
# autodetected; this should be sufficient for most people. Valid alternatives
# for the NEED_ options are "yes" and "no".

# Do you want to start the statd daemon? It is not needed for NFSv4.
NEED_STATD=

# Options for rpc.statd.
#   Should rpc.statd listen on a specific port? This is especially useful
#   when you have a port-based firewall. To use a fixed port, set this
#   this variable to a statd argument like: "--port 4000 --outgoing-port 4001".
#   For more information, see rpc.statd(8) or http://wiki.debian.org/?SecuringNFS
STATDOPTS=

# Do you want to start the idmapd daemon? It is only needed for NFSv4.
NEED_IDMAPD=

# Do you want to start the gssd daemon? It is required for Kerberos mounts.
NEED_GSSD=

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Number of servers to start up
RPCNFSDCOUNT=8

# Runtime priority of server (see nice(1))
RPCNFSDPRIORITY=0

# Options for rpc.mountd.
# If you have a port-based firewall, you might want to set up
# a fixed port here using the --port option. For more information,
# see rpc.mountd(8) or http://wiki.debian.org/?SecuringNFS
RPCMOUNTDOPTS=--manage-gids

# Do you want to start the svcgssd daemon? It is only required for Kerberos
# exports. Valid alternatives are "yes" and "no"; the default is "no".
NEED_SVCGSSD=

# Options for rpc.svcgssd.
RPCSVCGSSDOPTS=

[chemtech]

shushpanchik,
А

Код: [Выделить]

4899/tcp open     radmin ?

Проверьте еще chrootkit и аналогичными
Пользователь решил продолжить мысль 12 Декабря 2014, 12:07:38:Закройте все лишние порты наружу iptables-ом

[shushpanchik]

shushpanchik,
А

Код: [Выделить]

4899/tcp open     radmin ?

С этим все в порядке. Это офтопиковый RAdmin, он по определению не может делать такой трафик.

Лог chkrootkit во вложении.

[chemtech]

shushpanchik,
Закройте все лишние порты наружу iptables-ом

[DDDstart]

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

[shushpanchik]

Код: [Выделить]

root@gate:/# ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
“System clean”
root@gate:/#
Пошел на карддинальные действия. Прибил на серванте все что связано с NFS ибо не нужно. Ребут.

Жду графики cacti.

[chemtech]

shushpanchik,
еще 111 порт - это portmap - дыра еще одна
а /mnt/disk0/SHARE/ISO ?

[shushpanchik]

shushpanchik,
еще 111 порт - это portmap - дыра еще одна

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@gate:~# nmap -sT -O xxx.xxx.xxx.xxx

Starting Nmap 5.00 ( http://nmap.org ) at 2014-12-12 11:56 EET
Interesting ports on xxxx.xxxxxx.xxx.xx (xxx.xxx.xxx.xxx):
Not shown: 995 closed ports
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
53/tcp  open  domain
80/tcp  open  http
443/tcp open  https
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.00%D=12/12%OT=21%CT=1%CU=37252%PV=N%DS=0%G=Y%TM=548ABBBC%P=x86_
OS:64-unknown-linux-gnu)SEQ(SP=CB%GCD=1%ISR=CF%TI=Z%CI=Z%II=I%TS=7)OPS(O1=M
OS:400CST11NW7%O2=M400CST11NW7%O3=M400CNNT11NW7%O4=M400CST11NW7%O5=M400CST1
OS:1NW7%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)EC
OS:N(R=Y%DF=Y%T=40%W=8018%O=M400CNNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F
OS:=AS%RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW7%
OS:RD=0%Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0
OS:%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7
OS:(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=
OS:0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.78 seconds
root@gate:~#

а /mnt/disk0/SHARE/ISO ?

Это samba-ресурс. Его я скорее всего указывал когда баловался плюшками под названием NFS.

Зы. Война-войной, а обед по расписанию. Ждем графики кактуса.

[Karl500]

Прошу прощения, но что за бред с проверкой опции -G у ssh?

[DDDstart]

Прошу прощения, но что за бред с проверкой опции -G у ssh?

так на всякий пожарный. рас пошла такая пьянка