Mi VPS estaba enviando un gran ataque saliente de 10 MB/s. Es normal máximo 300Kb/s
Intenté buscar en Internet, busqué alguna carpeta /tmp, instalé Linux Malware Detect, instalé csf para habilitar el ataque UDP... sin suerte.
Creo que tratar de determinar qué está enviando tráfico es la mejor manera de descubrir qué sucede.
Aquí está el resultado de netstat -a -nPastebin
Aquí está el resultado de tcpdump.Mega.co.nz
Intenté buscar en algún lugar pero no tengo suficiente conocimiento sobre Linux para investigar. Cualquier ayuda será apreciada.
gracias.
Actualizarsalida de netstat -s
[root@vps ~]# netstat -s
IP:
495103797 paquetes totales recibidos
1 con direcciones no válidas
0 reenviado
0 paquetes entrantes descartados
493769051 paquetes entrantes entregados
1204381056 solicitudes enviadas
3692 paquetes salientes descartados
5 fragmentos fallaron
Icmp:
13585 mensajes ICMP recibidos
Error del mensaje ICMP de entrada 201.
Histograma de entrada ICMP:
destino inalcanzable: 10082
tiempo de espera en tránsito: 3276
redirecciones: 3
solicitudes de eco: 183
eco respuestas: 2
240 mensajes ICMP enviados
0 mensajes ICMP fallidos
Histograma de salida ICMP:
destino inalcanzable: 57
respuestas de eco: 183
Mensaje Icmp:
EnTipo0: 2
EnTipo3: 10082
EnTipo5: 3
EnTipo8: 183
EnTipo11: 3276
Tipo de salida0: 183
Tipo de salida 3: 57
TCP:
1015004 aperturas de conexiones activas
5115582 aberturas de conexión pasiva
15442 intentos fallidos de conexión
452556 restablecimientos de conexión recibidos
625 conexiones establecidas
493650804 segmentos recibidos
1183198473 segmentos enviados
21110586 segmentos retransmitidos
Se recibieron 4286 segmentos defectuosos.
450901 reinicios enviados
Udp:
104609 paquetes recibidos
Se recibieron 53 paquetes a puerto desconocido.
0 errores de recepción de paquetes
104876 paquetes enviados
UdpLite:
ExtTcp:
13815 reinicios recibidos para sockets SYN_RECV embrionarios
513 paquetes eliminados de la cola de recepción debido a una saturación del búfer del socket
18 paquetes ICMP se cayeron porque estaban fuera de la ventana
11 paquetes ICMP se cayeron porque el socket estaba bloqueado
1945118 Los sockets TCP finalizaron el tiempo de espera en el temporizador rápido
120383 paquetes rechazados en conexiones establecidas debido a marca de tiempo
2393832 acuses retrasados enviados
20868 acks retrasados se retrasaron aún más debido a un socket bloqueado
El modo de reconocimiento rápido se activó 892171 veces
143751 veces se desbordó la cola de escucha de un socket
143751 SYN a sockets LISTEN ignorados
2669 paquetes puestos directamente en cola en la cola previa de recvmsg.
71540 paquetes recibidos directamente del trabajo pendiente
17015 paquetes recibidos directamente desde la cola previa
Se predicen 11857275 encabezados de paquetes
Encabezado de 434 paquetes predicho y puesto en cola directamente al usuario
316066031 acuses de recibo que no contienen datos recibidos
137222044 agradecimientos previstos
5268 veces recuperadas de la pérdida de paquetes debido a una retransmisión rápida
7584644 veces recuperadas de pérdida de paquetes debido a datos SACK
14306 SACKs malos recibidos
Reordenamiento detectado 14577 veces usando FACK
Reordenamiento detectado 22980 veces usando SACK
Reordenamiento detectado 153 veces usando retransmisión rápida de reno
Reordenamiento detectado 27061 veces usando marca de tiempo
30970 ventanas de congestión totalmente recuperadas
165972 ventanas de congestión recuperadas parcialmente usando la heurística de Hoe
TCPDSACKDeshacer: 30728
117297 ventanas de congestión recuperadas después de un reconocimiento parcial
9256669 eventos de pérdida de datos TCP
TCPLostRetransmitir: 833948
732 tiempos de espera después de la retransmisión rápida de reno
512652 tiempos de espera después de la recuperación de SACK
508711 tiempos de espera en estado de pérdida
13240706 retransmisiones rápidas
742717 retransmisiones directas
3815497 retransmite en inicio lento
893992 otros tiempos de espera de TCP
Error de recuperación de TCPReno: 1286
544869 retransmisiones de sacos fallidas
46724 paquetes colapsaron en la cola de recepción debido a un búfer de socket bajo
894292 DSACK enviados para paquetes antiguos
477 DSACK enviados por paquetes fuera de servicio
899625 DSACK recibidos
50946 DSACK para paquetes fuera de orden recibidos
111195 conexiones restablecidas debido a datos inesperados
177489 conexiones restablecidas debido al cierre temprano del usuario
55313 conexiones abortadas debido al tiempo de espera
604 veces no se puede enviar RST debido a que no hay memoria
TCPSACKDescartar: 2309
TCPDSACKIgnoradoAnterior: 23725
TCPDSACKIgnoradoNoDeshacer: 499117
TCPRTO espurios: 42473
TCPSackFusionado: 3
TCPSackShiftFallback: 92353444
Desafío TCPACK: 27513
Desafío TCPSYNC: 4338
extensión IP:
En octetos: 73868759266
OutOctetos: 1748150154862