Meu VPS estava enviando um grande ataque de saída de 10 MB/s. É normal no máximo 300Kb/s
Eu tentei pesquisar na internet, procurei por alguma pasta /tmp, instalei o Linux Malware Detect, instalei o csf com ativação do ataque UDP out... sem sorte.
Acho que tentar determinar o que está enviando tráfego é a melhor maneira de descobrir o que acontece
Aqui está o resultado de netstat -a -nPastebin
Aqui está o resultado do tcpdumpMega.co.nz
Tentei pesquisar em algum lugar, mas não tenho conhecimento suficiente sobre Linux para investigar. Qualquer ajuda será apreciada.
obrigado.
Atualizarsaída de netstat -s
[root@vps ~]# netstat -s
IP:
495103797 pacotes totais recebidos
1 com endereços inválidos
0 encaminhado
0 pacotes recebidos descartados
493769051 pacotes recebidos entregues
1204381056 solicitações enviadas
3692 pacotes de saída descartados
5 fragmentos falharam
Icmp:
13.585 mensagens ICMP recebidas
Falha na mensagem ICMP de entrada 201.
Histograma de entrada ICMP:
destino inacessível: 10082
tempo limite em trânsito: 3276
redirecionamentos: 3
solicitações de eco: 183
respostas de eco: 2
240 mensagens ICMP enviadas
0 mensagens ICMP falharam
Histograma de saída ICMP:
destino inacessível: 57
respostas de eco: 183
Mensagem ICmp:
InType0: 2
InType3: 10082
InType5: 3
InType8: 183
InType11: 3276
OutType0: 183
OutType3: 57
TCP:
1015004 aberturas de conexões ativas
5115582 aberturas de conexão passiva
15442 tentativas de conexão com falha
452556 reinicializações de conexão recebidas
625 conexões estabelecidas
493650804 segmentos recebidos
1183198473 segmentos enviados
21110586 segmentos retransmitidos
4.286 segmentos ruins recebidos.
450901 redefinições enviadas
UDP:
104609 pacotes recebidos
53 pacotes recebidos para porta desconhecida.
0 erros de recebimento de pacote
104876 pacotes enviados
UdpLite:
TCPExt:
13815 redefinições recebidas para soquetes SYN_RECV embrionários
513 pacotes removidos da fila de recebimento devido à saturação do buffer do soquete
18 pacotes ICMP descartados porque estavam fora da janela
11 pacotes ICMP descartados porque o soquete estava bloqueado
1945118 Soquetes TCP terminaram o tempo de espera no temporizador rápido
120383 pacotes rejeitados em conexões estabelecidas devido ao carimbo de data/hora
2393832 confirmações atrasadas enviadas
20868 acks atrasados ainda mais atrasados devido ao soquete bloqueado
O modo de confirmação rápida foi ativado 892.171 vezes
143751 vezes a fila de escuta de um soquete estourou
143751 SYNs para soquetes LISTEN ignorados
2.669 pacotes enfileirados diretamente na pré-fila recvmsg.
71.540 pacotes recebidos diretamente do backlog
17.015 pacotes recebidos diretamente da pré-fila
11857275 cabeçalhos de pacotes previstos
434 cabeçalhos de pacotes previstos e enfileirados diretamente para o usuário
316066031 confirmações sem dados recebidos
137222044 reconhecimentos previstos
5.268 vezes recuperadas de perda de pacotes devido à retransmissão rápida
7584644 vezes recuperadas de perda de pacotes devido a dados SACK
14306 SACKs ruins recebidos
Reordenamento detectado 14.577 vezes usando FACK
Reordenamento detectado 22.980 vezes usando SACK
Reordenamento detectado 153 vezes usando reno fast retransmit
Reordenamento detectado 27.061 vezes usando carimbo de data/hora
30970 janelas de congestionamento totalmente recuperadas
165972 janelas de congestionamento parcialmente recuperadas usando a heurística Hoe
TCPDSACKDesfazer: 30728
117297 janelas de congestionamento recuperadas após confirmação parcial
9256669 eventos de perda de dados TCP
TCPLostRetransmitir: 833948
732 tempos limite após retransmissão rápida reno
512652 tempos limite após recuperação do SACK
508711 tempos limite em estado de perda
13240706 retransmissões rápidas
742717 retransmissões diretas
3815497 retransmite em partida lenta
893992 outros tempos limite de TCP
TCPRenoRecoveryFail: 1286
544869 retransmissões de sack falharam
46724 pacotes foram recolhidos na fila de recebimento devido ao buffer de soquete baixo
894292 DSACKs enviados para pacotes antigos
477 DSACKs enviados para pacotes fora de ordem
899625 DSACKs recebidos
50946 DSACKs para pacotes fora de ordem recebidos
111195 conexões redefinidas devido a dados inesperados
177489 conexões redefinidas devido ao fechamento antecipado do usuário
55313 conexões abortadas devido ao tempo limite
604 vezes não foi possível enviar RST devido à falta de memória
TCPSACKDescartar: 2309
TCPDSACKIgnoredAntigo: 23725
TCPDSACKIgnoredNoUndo: 499117
TCPSpuriousRTOs: 42473
TCPSackMesclado: 3
TCPSackShiftFallback: 92353444
TCPChallengeACK: 27513
Desafio TCPSYNC: 4338
IPExt:
InOctetos: 73868759266
OutOctetos: 1748150154862