Taux étrangement haut de packets entrant

[seebz]

Bonjour à tous,
nous avons un serveur dédié chez OVH (superplan premium).

Ce matin, il était inaccessible, OVH nous a averti et a rapidement relancé le serveur.
Nous ignorons la cause de la panne, par contre nous avons remarqué qu'il y a un taux étrangement élevé de packets entrant depuis hier 16h (de l'ordre de 4 entrants pour 1 sortant).
(en temps normal, c'est plutot de l'ordre de 1 entrants pour 2 sortants).

Nous n'arrivons pas à identifier la source de ces packets, ni le service de destination.

Quelqu'un pourrait me conseiller ?
Merci d'avance

 

[Leonick]

dans tes différents logs du serveur, tu dois bien trouver sur quel service se concentrent ces appels, non ?

 

[seebz]

Nan, bah j'ai vérifié différents types de logs, j'ai rien trouvé d'étrange.
J'dois quand même avouer que j'suis pas admin server donc voila..

En fait, c'est sur les graphes de monitoring d'OVH qu'on remarque une augmentation des packets, mais étrangement, le traffic ne semble pas subir cette augmentation (toujours d'après les graphes).
Je posterai éventuellement ces images demain.

Merci quand même pour ta réponse

 

[Julia41]

T'as beaucoup de lignes pour un :

netstat -tanpu |grep SYN

?

 

[seebz]

T'as beaucoup de lignes pour un :

netstat -tanpu |grep SYN

?

aucune

 

[Julia41]

Tu fais avec quoi tes stats pour donner ton ratio de 4 IN/1 OUT ?

 

[seebz]

Tu fais avec quoi tes stats pour donner ton ratio de 4 IN/1 OUT ?

Calcul approximatif à partir des chiffres fournis dans le Manager OVH


Graph annuel (remarquez la différence de ratio entre "Moyenne" et "Actuelle") :

Graph Hebdomadaire (on voit une augmentation à partir de mardi 16h) :

Graph du mardi :

C'est grave docteur ? :?

 

[Leonick]

ça serait plutôt le trafic sortant qui serait élevé en pics : 10 fois plus en maxi pour une moyenne 2 fois moindre

 

[seebz]

ça serait plutôt le trafic sortant qui serait élevé en pics : 10 fois plus en maxi pour une moyenne 2 fois moindre

Désolé mais j'ai pas compris ce que tu as voulo dire

Ce qui me tracasse, c'est le graph bleu qui reste en permanence depuis mardi 16h.
Le serveur héberge uniquement des sites vitrines, il n'y a pas de services web spécial et ont a pas mis en ligne de sites à fort traffic récement

 

[Julia41]

ça serait plutôt le trafic sortant qui serait élevé en pics : 10 fois plus en maxi pour une moyenne 2 fois moindre

Pour ça j'aurais dit un truc de backup qui fait des pics.

Sinon, je trouve pas ça spécialement grave. Vérifie si t'aurais pas un programme qui tournerait et qui ferait du transfert.
Sinon ça arrive de se faire hotlinké sur des petits zip et résultat la bande passante est un peu plus utilisée.
Je ne me fis jamais au paquet perso, juste à la BP, donc si niveau BP ça reste normal, peut-être que c'est un logiciel qui a été mis à jour et qui envoi des paquets plus petits, mais donc en plus grand nombre.
Niveau "visites" t'as pas fait un buzz, ou tu te serais pas fait référencer sur des nouveaux mots clés ?

Ca peut aussi être d'autres trucs (style t'as un script php non sécurisé et quelqu'un s'en sert pour envoyer des spams).

Faudrait regarder un peu dans les logs "en vrac" si tu vois des trucs chelous :

tail -f /var/log/*.log

Mais bon, si tu as déjà regardé, ce n'est pas gênant.

Autre idée, le monitoring d'OVH c'est de la merde donc ça peut venir de leur MRTG (un changement pas prévenu)

 

[seebz]

Le pic de packets sortant à 2h correspond effectivement au transfert du backup

Visiblement, le "problème" s'est arrêté hier vers 13h.
Ce qui m'inquiétait surtout, c'est que ca a généré le premier freeze du serveur qui a du être rebooté.

Etrange histoire mais vu que ca semble être résolu, je ne vais pas m'éterniser dessus (je surveillerai quand même de temps en temps ce graph).

Merci encore de votre aide

 

[Leonick]

Ca ressemble à l'aspiration de ton contenu alors ? as-tu vu dans tes logs apache une telle activité ?

 

[seebz]

Ca ressemble à l'aspiration de ton contenu alors ? as-tu vu dans tes logs apache une telle activité ?

Non, a première vue, il n'y a rien d'étrange dans les logs apache.
De plus, ce sont pour la plupart des sites "vitrines" donc y a pas vraiment grand chose d'intérressant à aspirer. Je comprend pas, peut-être était-ce un problème au niveau du MRTG chez ovh :?: