Encuentra cuál es el ancho de banda de todos mis servidores

1

TLDR: ¿cómo puedo profundizar en mi servidor Mac mini OSX para determinar qué procesos consumen tanto ancho de banda o de dónde proviene todo el tráfico entrante?

El almacenamiento en caché de recursos está activado, todos los recursos se minimizan o las imágenes se trituran, nuestras páginas consumen menos ancho de banda que el sitio web del mes pasado (www.vulytrampolines.com), y nuestro tráfico en análisis es el mismo.

Historia de fondo: Tenemos dos mini servidores mac que ejecutan nuestro sitio web / puesta en escena / bases de datos, etc. Desde que nos mudamos de un servidor dedicado en Estados Unidos a un lugar de colocación en la ciudad, nuestro consumo de ancho de banda se ha cuadruplicado de alguna manera . Hay una configuración del proceso de replicación de la base de datos entre los dos, así como DNS y varios sitios web (por ejemplo, archivos grandes, tareas de bases de datos, paquetes de intranet, etc. están en el servidor provisional, el sitio web y la base de datos están en el servidor de producción)

Nuestro servidor provisional ha tenido 7 GB de tráfico entrante en 3 DÍAS . ¿Alguien sabe cómo verificar las fuentes de tráfico entrante para ver de dónde proviene este flujo constante de tráfico entrante en una conexión de 200k? No tenemos idea No estamos enviando archivos en absoluto, lo único que debería estar activo es SSH y un proceso de replicación de la base de datos. netstat[ver más abajo] muestra que tenemos más de 20 conexiones establecidas y 30+ conexiones de peso cerrado al puerto 625. No tenemos la menor idea de cómo podría estar sucediendo esto.

Lo molesto es que las estadísticas web muestran que no hemos usado cerca de 11.66 GB para el tráfico HTTP (dice que usamos 22 GB en el último mes, pero nuestro tráfico saliente se registró como más de 100 GB). Las estadísticas de la base de datos dicen que tampoco hemos usado suficiente ancho de banda como para causar el problema.

Este es nuestro servidor provisional, venus1 (ha sido así durante algunas semanas): ingrese la descripción de la imagen aquí

Este es nuestro servidor de producción, venus2: ingrese la descripción de la imagen aquí

netstat -anp tcpsalida en venus1. La mayoría de las direcciones extranjeras son de nuestras direcciones IP de trabajo. 11211 es memcached.

tcp4       0      0  122.99.117.18.49712    204.93.223.143.80      ESTABLISHED
tcp4       0      0  122.99.117.18.11211    122.99.117.18.49711    ESTABLISHED
tcp4       0      0  122.99.117.18.49711    122.99.117.18.11211    ESTABLISHED
tcp4       0     52  122.99.117.18.22       59.167.152.67.56106    ESTABLISHED
tcp4       0      0  122.99.117.18.11211    122.99.117.18.49588    ESTABLISHED
tcp4       0      0  122.99.117.18.49588    122.99.117.18.11211    ESTABLISHED
tcp4       0      0  122.99.117.18.49410    122.99.117.19.3306     ESTABLISHED
tcp4       0      0  122.99.117.18.5432     122.99.117.18.58704    ESTABLISHED
tcp4       0      0  122.99.117.18.58704    122.99.117.18.5432     ESTABLISHED
tcp4       0      0  127.0.0.1.58699        *.*                    LISTEN
tcp4       0      0  122.99.117.18.625      110.142.234.238.62055  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.71.206.61838    ESTABLISHED
tcp4       5      0  122.99.117.18.625      203.206.171.34.61741   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.61270  ESTABLISHED
tcp4       0      0  127.0.0.1.54           *.*                    LISTEN
tcp4       0      0  122.99.117.18.53       *.*                    LISTEN
tcp4       0      0  127.0.0.1.53           *.*                    LISTEN
tcp4       0      0  122.99.117.18.625      110.142.234.238.63980  ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.55282   ESTABLISHED
tcp46      0      0  *.80                   *.*                    LISTEN
tcp4       0      0  *.*                    *.*                    CLOSED
tcp46      0      0  *.443                  *.*                    LISTEN
tcp4       0      0  *.*                    *.*                    CLOSED
tcp4       0      0  122.99.117.18.625      122.99.117.19.50766    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      122.99.117.19.63981    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.60214  ESTABLISHED
tcp4       0      0  122.99.117.18.625      27.33.32.204.65196     ESTABLISHED
tcp4       0      0  122.99.117.18.625      110.142.234.238.60274  ESTABLISHED
tcp4       0      0  122.99.117.18.625      122.99.117.19.53201    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.59662   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      122.99.117.19.49869    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      122.99.117.19.53827    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.64678  ESTABLISHED
tcp4       0      0  122.99.117.18.625      122.99.117.19.52810    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.62510  ESTABLISHED
tcp4       0      0  122.99.117.18.625      122.99.117.19.49909    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.56096  ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.53247   ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.62051   ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.93.92.59123     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      122.99.117.19.57173    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.49352   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.64362  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.59772     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.59528    CLOSE_WAIT
tcp4       0      0  *.3306                 *.*                    LISTEN
tcp4       0      0  122.99.117.18.625      27.33.32.204.56812     ESTABLISHED
tcp4       0      0  122.99.117.18.625      110.142.234.238.52987  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.50598    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.63339  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.63283  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.61312    ESTABLISHED
tcp4       0      0  122.99.117.18.625      110.142.234.238.52045  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      122.99.117.19.49172    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.50501   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.93.92.56042     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.55882     ESTABLISHED
tcp4       0      0  122.99.117.18.311      58.111.93.92.55875     ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.58776   ESTABLISHED
tcp6       0      0  *.5432                 *.*                    LISTEN
tcp4       0      0  *.5432                 *.*                    LISTEN
tcp4       0      0  122.99.117.18.625      58.111.93.92.52692     ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.57121   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.54673     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.53915     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.52109     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.51807     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.65049     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.93.92.64442     ESTABLISHED
tcp4       0      0  122.99.117.18.311      203.206.171.34.51628   ESTABLISHED
tcp4       0      0  122.99.117.18.625      203.206.171.34.51594   ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.79.42.62597     ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.79.42.62454     ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.79.42.58088     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.57305     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.53724     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.62224     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.62064     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.58236     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.51320   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.51297   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      203.206.171.34.50864   CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.49800  CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      27.33.32.204.50894     ESTABLISHED
tcp4       0      0  122.99.117.18.625      59.167.152.67.50411    ESTABLISHED
tcp4       0      0  122.99.117.18.625      27.33.32.204.54446     ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.79.42.51680     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.60797     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.60729     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.49209    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.63371     CLOSE_WAIT
tcp4      81      0  122.99.117.18.625      113.128.44.66.3842     CLOSE_WAIT
tcp4      11      0  122.99.117.18.625      213.57.189.27.55646    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      110.142.234.238.53655  ESTABLISHED
tcp4       0      0  122.99.117.18.625      110.142.234.238.53644  ESTABLISHED
tcp4       0      0  122.99.117.18.625      58.111.79.42.52146     CLOSE_WAIT
tcp4       0      0  127.0.0.1.8005         *.*                    LISTEN
tcp46      0      0  *.8009                 *.*                    LISTEN
tcp46      0      0  *.8080                 *.*                    LISTEN
tcp4       0      0  122.99.117.18.625      58.111.79.42.50716     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.49872    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.63218     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.62471     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.64758     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.64646     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.56788     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.56770     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.56017     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.53131     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.52519     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.51215     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.51131     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.57058    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      59.167.152.67.56711    CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.50975     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.57209     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.54753     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.60786     CLOSE_WAIT
tcp4       0      0  122.99.117.18.625      58.111.79.42.56174     CLOSE_WAIT
tcp4       0      0  *.11212                *.*                    LISTEN
tcp6       0      0  *.11212                *.*                    LISTEN
tcp4       0      0  127.0.0.1.5348         127.0.0.1.49167        ESTABLISHED
tcp4       0      0  127.0.0.1.49167        127.0.0.1.5348         ESTABLISHED
tcp4       0      0  122.99.117.18.5218     122.99.117.18.49166    ESTABLISHED
tcp4       0      0  122.99.117.18.49166    122.99.117.18.5218     ESTABLISHED
tcp46      0      0  *.5268                 *.*                    LISTEN
tcp46      0      0  *.5218                 *.*                    LISTEN
tcp4       0      0  127.0.0.1.5348         127.0.0.1.49163        ESTABLISHED
tcp4       0      0  127.0.0.1.49163        127.0.0.1.5348         ESTABLISHED
tcp4       0      0  127.0.0.1.5348         127.0.0.1.49162        ESTABLISHED
tcp4       0      0  127.0.0.1.49162        127.0.0.1.5348         ESTABLISHED
tcp4       0      0  127.0.0.1.5348         127.0.0.1.49161        ESTABLISHED
tcp4       0      0  127.0.0.1.49161        127.0.0.1.5348         ESTABLISHED
tcp4       0      0  127.0.0.1.5348         *.*                    LISTEN
tcp4       0      0  *.11211                *.*                    LISTEN
tcp6       0      0  *.11211                *.*                    LISTEN
tcp4       0      0  *.88                   *.*                    LISTEN
tcp6       0      0  *.88                   *.*                    LISTEN
tcp6       0      0  *.2000                 *.*                    LISTEN
tcp4       0      0  *.2000                 *.*                    LISTEN
tcp6       0      0  *.4190                 *.*                    LISTEN
tcp4       0      0  *.4190                 *.*                    LISTEN
tcp4       0      0  *.464                  *.*                    LISTEN
tcp6       0      0  *.464                  *.*                    LISTEN
tcp6       0      0  *.25                   *.*                    LISTEN
tcp4       0      0  *.25                   *.*                    LISTEN
tcp4       0      0  *.749                  *.*                    LISTEN
tcp6       0      0  *.749                  *.*                    LISTEN
tcp4       0      0  *.22                   *.*                    LISTEN
tcp6       0      0  *.22                   *.*                    LISTEN
tcp4       0      0  *.5900                 *.*                    LISTEN
tcp6       0      0  *.5900                 *.*                    LISTEN
tcp4       0      0  *.625                  *.*                    LISTEN
tcp6       0      0  *.625                  *.*                    LISTEN
tcp4       0      0  127.0.0.1.631          *.*                    LISTEN
tcp6       0      0  ::1.631                *.*                    LISTEN
tcp4       0      0  *.311                  *.*                    LISTEN
Benno
fuente

Respuestas:

5

A menos que tenga una muy buena razón para no hacerlo, por favor cortafuegos todos los puertos que no son públicas en su Mac Minis de inmediato y sólo exponer lo que necesita! Hice una comprobación rápida y todos sus servicios actualmente parecen estar completamente abiertos a Internet (SSH, SMTP, Tomcat, VNC, MySQL y apple-xsrvr-admin (TCP625) ciertamente lo son), lo cual es una muy mala idea.

La gran cantidad de tráfico entrante que está viendo puede ser posiblemente piratas informáticos / bots que intentan forzar inicios de sesión y contraseñas para sus servicios; lo veo mucho en los servidores, particularmente contra SSH (ya que a menudo es público) y directamente contra software web popular, como la página /wp-login.php de WordPress. Desde su netstat puedo ver que las IP de Israel y China intentaban acceder a TCP625 (apple-xsrvr-admin, utilizado para DirectoryService, Open Directory Assistant & Workgroup Manager), lo cual no es una buena señal. Espero que todos sus nombres de usuario y contraseñas sean fuertes porque, al no intentar sonar alarmista aquí, pero el valor de 7GB de fuerza bruta puede haber permitido que algunas personas malas lleguen a cosas a las que no deberían tener acceso, independientemente de la seguridad / estado de parche de cualquier software.

Verifique con su proveedor de alojamiento / colo que tiene algún tipo de consola serie remota y / o acceso VNC en caso de que accidentalmente se bloquee el acceso a sus servidores, luego agregue el mínimo absoluto requerido para que usted mismo administre los servidores de forma remota a los conjuntos de reglas y gire los cortafuegos activados, lo que supongo que todavía no están. De manera predeterminada, el firewall del servidor OS X bloquea todos los puertos entrantes, excepto los que se utilizan para configurar el servidor de forma remota (TCP22, TCP311, TCP626, TCP625, ping estándar ICMP (entrada y salida), resolución de nombre UDP53 UDP), por lo que debe estar bien para activarlo directamente, aunque desea bloquearlos más una vez que lo haya hecho. Cree grupos de direcciones que sean específicos para el IP de su oficina (o los bloques de red IP de su ISP si su oficina no tiene una dirección IP estática) y utilícelos para abrir el acceso de administrador (por ejemplo, SSH, OpenDirectory, VNC) solo para estos. Cree otro grupo con acceso IP único para 122.99.117.18 y 122.99.117.19 (o 122.99.117.18/31 máscara) para hablar entre ellos y permitir esto para la replicación de MySQL. Abra los puertos SMTP, HTTP, HTTPS al mundo, suponiendo que sean públicos. Bloquee todo herméticamente, otorgando permiso solo a las IP que necesitan acceso a cada puerto. Considere hacer esto también para el tráfico saliente. Desea planificar esto con anticipación y asegurarse de hacerlo todo bien, pero hágalo pronto en lugar de dejar al servidor abierto. Bloquee todo herméticamente, otorgando permiso solo a las IP que necesitan acceso a cada puerto. Considere hacer esto también para el tráfico saliente. Desea planificar esto con anticipación y asegurarse de hacerlo todo bien, pero hágalo pronto en lugar de dejar al servidor abierto. Bloquee todo herméticamente, otorgando permiso solo a las IP que necesitan acceso a cada puerto. Considere hacer esto también para el tráfico saliente. Desea planificar esto con anticipación y asegurarse de hacerlo todo bien, pero hágalo pronto en lugar de dejar al servidor abierto.

Revise los registros de sus servidores y busque actividad sospechosa. En particular, busque los inicios de sesión exitosos en los servicios desde ubicaciones extrañas o en momentos extraños. Establezca algunos procedimientos para hacer esto regularmente.

No estoy seguro de qué versión de OS X Server tiene, pero adivinando en 10.6 o 10.7, este documento de Peachpit puede ayudarlo a comenzar en el frente de firewall.

Como es posible, Apple admite PDF en los Servicios de red (consulte el capítulo 4 para obtener información sobre firewall).

Para una configuración de firewall más avanzada, pruebe Waterroof o Icefloor, que proporcionan una GUI simple en lugar de tener que meterse con pf en la línea de comandos.


(Editar para abordar las reglas de ipfilter pegadas desde cada servidor)

Bien, comencemos con venus1 (122.99.117.18). El problema obvio aquí es que no hay un problema general deny ip from any to any, por lo que debemos solucionarlo de inmediato. Desde la línea de comandos, puede emitir: sudo ipfw add 65534 deny log logamount 1000 ip from any to any

O hágalo desde la pestaña Configuración del administrador del servidor, debajo de la subpestaña Avanzado si no está muy cómodo manipulando las reglas de ipfw desde la línea de comandos (lo que debería ponerlo nervioso, ya que puede terminar mal si se resbala). Debe haber una lista de Reglas avanzadas algo similar a la siguiente imagen. Suponiendo que esa regla ya está en la parte inferior, márquela para habilitarla: Ficha Configuración del administrador del servidor, Avanzado

Recuerde que las reglas de ipfw fluyen hacia abajo en la lista de prioridades, por lo que una regla de prioridad 1 tiene prioridad sobre todo lo demás. Por lo tanto, agregar una regla de 'negar todo' en 65534 es la última en la lista, lo que significa que solo negará una conexión si todo lo anterior no permite algo primero.

OK, con eso fuera del camino, tratemos con algunos Grupos de Direcciones. Ha definido un grupo de direcciones que es 122.99.117.16/29, entonces 122.99.177.16-22 (donde una IP es la puerta de enlace), que es su Mac Minis y otras direcciones IP co-lo. Probablemente desee definir otro grupo de direcciones para la ubicación de su oficina, lo que supongo es una IP estática de 59.167.152.67 (o si su trabajo obtiene una IP dinámica, entonces todo el bloque de red de Internode es 59.167.0.0/16). Haga esto para venus1 y venus2 y agregue más para cualquier otra oficina que tenga.

Una vez que haya definido los Grupos de su oficina, otorgue a cada uno de estos permisos para acceder a TCP22, TCP311, TCP626, TCP625, TCP3283 y TCP5900, para que siempre pueda administrar sus Minis incluso cuando deshabilita el acceso mundial a estos puertos. Con la GUI, vaya a la subpestaña Servicios de la Configuración del administrador del servidor. Cambie los "Servicios de edición para:" a los Grupos de direcciones de su oficina, luego marque las casillas correspondientes para los puertos anteriores.

Ahora abordemos algunas reglas más problemáticas de venus1. Por ejemplo:

12321    1570      78548 allow tcp from any to any dst-port 3306

La regla 12321 permite que todo se conecte a MySQL. Desactive esta regla para el grupo de direcciones "cualquiera" (usando la subpestaña Servicios nuevamente) y mientras esté allí, cualquier otro servicio al que el mundo no necesite acceder. Probablemente desee mantener TCP25 (correo smtp), TCP / UDP53 (dns), TCP80 (HTTP), TCP443 (HTTPS) accesible al mundo, pero ¿necesita acceso mundial a TCP8080 (estado del servidor de tomcat)? ¿Algo más? Bloquéelo todo y solo otorgue acceso a su (s) grupo (s) de direcciones de la oficina y co-lo cuando sea apropiado (por ejemplo, la replicación MySQL).

¡Recuerda probar todo! Aprenda a usar nmap para escanear los puertos de su servidor para que pueda ver lo que está abierto y cerrado. Escanee desde diferentes ubicaciones (p. Ej., Su oficina, ingrese a su otro servidor, en casa a través de otro ISP, etc.) para asegurarse de que las reglas funcionen como deberían. Tenga cuidado de no encerrarse, pero bloquee todo lo más que pueda. Vuelva a leer el documento de Peachpit y el PDF de soporte de Apple vinculado anteriormente y realmente aprenda el material, le servirá de mucho. ¡Ah, y vigila tus registros con regularidad!

De acuerdo, con suerte eso debería verte bien, o al menos ponerte en un mejor camino. La mejor de las suertes.

Stef Pause
fuente
Muchas gracias por tu aporte! ¡Comenzaré a trabajar en estas cosas hoy! ¡De hecho, me di cuenta a través de un tcpdump que teníamos varios cientos de intentos de inicio de sesión MySQL desde direcciones IP chinas! No sabía sobre los israelíes, así que también investigaré eso.
Benno
Hola Stef, he habilitado el "Firewall" en la herramienta de administración del servidor. ¿Es ese el correcto? Porque eso no ha habilitado el Firewall en Prefs> Seguridad / Privacidad> Firewall. He deshabilitado el acceso al puerto 625, pero todavía tenemos muchas conexiones establecidas (¿presumiblemente porque tengo habilitadas las conexiones establecidas por TCP?).
Benno
1
Bueno, eso debería activar el firewall, pero algo definitivamente no está bien porque al editar / activar una regla (por ejemplo, deshabilitar el acceso a TCP 625) esto debería terminar cualquier conexión activa en ese puerto. El hecho de que no lo haya hecho significa que algo pasa. La investigación adicional revela que MySQL todavía está abierto al mundo en ambos servidores. ¿Puede SSH en cada uno y ejecutar y sudo serveradmin fullstatus ipfilterluego pegar los resultados, por favor?
Stef Pause
Maldición, eso no es bueno. Muchas gracias por tu ayuda Stef. Aquí está la salida de venus2: pastebin.com/PpRj3vvT y la salida de venus1: pastebin.com/TXenWQUK . ¿Sabría cómo matar el proceso de cualquier programa que se ejecute en el puerto 625 o volver a cargarlo, para que al menos podamos ver si es lo que está usando el ancho de banda?
Benno
Reiniciamos el servidor (porque maté a opendirectoryd usando launchctl, pensando que era lo que se estaba ejecutando en el puerto 625 (no parecía ser) y deshabilitó el uso compartido de pantalla / ssh, etc.), y ahora no hay conexiones persistentes 625 (aleatorias). ¿Alguien puede explicar eso? Es como si hubiera un proceso ejecutándose constantemente, que solo ahora se desconectó. No entiendo: S
Benno
3

La solución más rápida sería usar un sniffer de paquetes: tcpdump o wireshark (este último tiene una interfaz gráfica). Si hay algún tipo de fuente de tráfico constante, tenderá a sobresalir. También podrá profundizar en los detalles de la carga útil una vez que descubra la fuente del tráfico desconocido.

rnxrx
fuente
Gracias. Ejecuté un tcpdump -c 2500 y lo envié a un archivo, luego lo analicé en Wireshark. Tuvimos 1.2 MB de tráfico en 30 segundos de grabación. La mayoría parece ser de MySQL, pero todavía está a 160k de nuestra conexión constante de 200k. Entonces, ¿algo más que conexiones tcp?
Benno
tcpdump captura todo en el cable: cuando estás en wireshark, puedes aplicar un filtro de visualización para excluir las cosas que sabes (es decir, MySQL) ... También te sugiero capturar durante un intervalo más largo para tener una mejor idea de lo que hay sucediendo. Su nivel de tráfico no es tan alto que una captura de 10-30 minutos no sería razonable.
rnxrx
Ok, genial gracias. Definitivamente lo intentaré. Salimos de SSH cada pocos minutos, así que espero que siga funcionando mientras estoy D / C.
Benno
Utilizar nohup y la puso como recoger 100.000 paquetes más o menos y cobrar más tarde ...
rnxrx
Usted señor, es un genio maldito. ¡No tenía idea de nohup! se inclina ante el maestro todopoderoso
Benno
2

Según la estrecha correlación entre las estadísticas de tráfico en los servidores de preparación y producción, parece que sus dos servidores están hablando entre sí .

El puerto 625 es un puerto de administración utilizado por los productos de Apple. Desde su netstat, parece que una máquina (.19) se está conectando a la otra (.18) en el puerto 625. De algunas búsquedas de Google, parece que Mac OS X usa el puerto 625 para Workgroup Manager (que fue reemplazado en Mountain Lion con Profile Manager ).

También parece que una gran variedad de otras máquinas en Internet también se están conectando al puerto 625, probablemente como intentos de intrusión. Debe cortafuegos de su servidor lo antes posible para evitar intrusiones.

Michael Hampton
fuente
Gracias por responder. Lo extraño es que la mayor parte del tráfico al puerto 625 proviene de nuestra red de trabajo. Tenemos 5 conexiones a Internet, por lo que tenemos 5 direcciones IP diferentes. No estamos seguros de cómo están conectados al servidor. ¿Cómo estaría tratando de conectarse al servidor el administrador de grupo de trabajo en una Mac de miembros del personal? Muy confuso ... Buscaremos en los servidores hablando entre nosotros, gracias por eso, no habíamos pensado en eso.
Benno