Посчитать входящий трафик.

мы в чудеса не верим.... значит в куда-то закачивает.

Конечно что-то качает, я это и пытаюсь выяснить. Узнать какой именно скрипт это делает и присечь. Как это можно сделать попроще?

там php as apache module или suexec есть?

вот тут вариант решения есть -> /ru/forum/comment/2981362, но только если закачивает данные на хост, то это не совсем простой метод... а исходящее с правленными опциями отловить быстро можно. лично мне кажется что на хост данные закачивают, в какой-то скрипт заливают... это должно быть по статистике видно.

ps. если скрипт, то не факт что это делает клиент сидящий на этом айпи, т.к. на сокет этого айпи прибиндится может кто угодно...

была ситуация когда так через почту что-то перекачивали... типа с одного сервера кусками по 2М режется фильм и отправляется на другой, оттуда что-то эти куски забирает ну и как предположение в дальнейшем склеивает и т.д... вы уверены что у вас именно http трафика набегает столько ? нет возможности отключить исходящие соединения с этого сервера на 80 порт? что там вообще на этом сервере крутится? в конце концов уже можно было стор раз какуюнить считалку поднять и много всего понять, куданить вдуть netflow в тотже самый netflow analyzer , и разобрать, а так гадания на кофейной гуще.

виртуалхосты под разными uid запускать и по нимже трафик посчитать. mpm-itk заюзайте

что вы имеете ввиду говоря "на другом айпишнике" ? если апач слушает другой IP то это не значит что исходящие соединения скриптов будут с того же IP, они вероятнее всего будут с первого IP интерфейса.

в линухе похожее у меня решается через iptables, фильтрация по UID - естественно у разных скриптов д/б разные UID-ы. ipfw наверняка что-то похожее позволяет.

Не знаю :)

Вот уже пробовал и выкладывал листинг:

/ru/forum/comment/2981997

Есть два домена, которые потребляют большое количество общего трафика, они отдают контент только с жесткого диска. Статистика по панели directadmin. Именно на эти домены и приходится большое количество входящего, тут нет сомнений, так как остальные домены не генерируют даже близко общего трафика, который сравниться с исходящим.

antono добавил 06.03.2008 в 21:36

Статистикак в панели directadmin полностью совпадает со статистикой хостера. Определил два домена, которые генерируют исходящий, но не пойму почему. Вы хотите сказать что кто-то качает через первый IP, то статистика может учитывать его на другом?

antono добавил 06.03.2008 в 21:37

Уверен что http, с почты там вообще копейки которые можно не считать.

вся хотят сказать что есть тысяча способов потреблять трафик мимо учетной системы разных хостинговых userlevel панелей....

Трафик с панели и счетчика хостинга полностью сходится, даже известно какой IP и какие домены его расходуют, мне нужно просто расшифровать что за скрипты или что-то еще это делает.

К сожалению на этом сервере нет портов, пробовал поставить с помощью pkg_add, но он не работает почему-то:

/libexec/ld-elf.so.1: Shared object "libkvm.so.4" not found, required by "lsof"

Установил Rootkit Hunter, он ничего не обнаружил.

По команде netstat -Lan выдает

tcp4 0/0/20 *.587

tcp4 0/0/20 *.25

tcp4 0/0/5 *.21

tcp4 0/0/128 *.80

tcp4 0/0/128 *.443

tcp4 0/0/50 *.3306

tcp6 0/0/128 ::1.953 - ???

tcp4 0/0/128 127.0.0.1.953

tcp4 0/0/3 127.0.0.1.53

tcp4 0/0/3 89.108.*.*.53

tcp4 0/0/3 89.108.*.*.53

tcp4 0/0/3 89.108.*.*.53

tcp4 0/0/3 89.108.*.*.53

tcp4 0/0/8 *.2222

tcp4 0/0/128 *.110

tcp4 0/0/128 *.22

tcp6 0/0/128 *.22

Скажите что это такое: tcp6 0/0/128 ::1.953

На другом сервере этого нет