Traffic mencurigakan dari server

Discussion in 'Masalah Teknik dan Keamanan' started by lordi, 12 Jan 2016.

Thread Status:
Not open for further replies.
  1. lordi

    lordi Poster 2.0

    Messages:
    183
    Likes Received:
    17
    Trophy Points:
    18
    okey, sedikit pertanyaan terkait monitoring bandwidth
    saya mempunyai server Centos based, webpanel ISPConfig 3 dengan konfigurasi NAT menggunakan Cisco. IP lokal redirect ke publik IP.
    Temen saya yang kebetulan merupakan network admin menanyakan kenapa server saya melakukan transmit data yang besar ke luar.
    Saya mencoba menginstall iftop dan mencoba cek logging yang dihasilkan, tetapi masih bingung bacanya :D
    apakah ada cara untuk mencek, kalau ada malicious activity terkait bandwidth ini? mungkin virus, atau bot atau atau apapun?
    saya masih newbie dalam pengelolaan dedicated server soalnya khususnya keamanan:D
    mohon bimbingan step by step untuk menginvestigasinya :D
     
  2. mas.satriyo

    mas.satriyo Expert 2.0

    Messages:
    963
    Likes Received:
    141
    Trophy Points:
    43
    coba cek pake nethogs mas
    bisa cek proses mana yg makan bandwidth gede :D
     
    lordi likes this.
  3. Nina Prasetyo

    Nina Prasetyo Expert 2.0

    Messages:
    970
    Likes Received:
    277
    Trophy Points:
    63
    Pakai yg udah ada di default distronya aja: lsof -i

    kl kurang puas, ya pakai nethogs, donwload dan install
     
    lordi likes this.
  4. antmediahost

    antmediahost Apprentice 1.0

    Messages:
    262
    Likes Received:
    41
    Trophy Points:
    28
    cek juga details proses yang sedang running pakai ps axuf | more
    kalau ada proses yang mencurigakan bisa di kill, mungkin malware
     
    lordi likes this.
  5. lordi

    lordi Poster 2.0

    Messages:
    183
    Likes Received:
    17
    Trophy Points:
    18
    wuah makasih infonya semuanya, saya sudah install nethogs, sementara dalam posisi running,
    oh ya untuk sementara saya lihat di nethogs tidak ada yang mencurigakan, traffic e rendah, tapi di iftop kok lain yak bos,
    coba lihat di foto yang sempet saya capture tadi

    WP_20160113_001.jpg

    koneksi aneh apa itu yah?
    apakah dengan rate yang kadang mencapai full 3 mbps itu normal yak?

    IMG-20160113-WA0005.jpg

    ini yang menjadi dasar temen saya komplain ke saya, monitoring dari mikrotik
     
    Last edited: 13 Jan 2016
  6. mustafaramadhan

    mustafaramadhan Hosting Guru

    Messages:
    3,237
    Likes Received:
    857
    Trophy Points:
    113
    Telusuri ke sumbernya pakai maldet (perlu diinstall).
     
    lordi likes this.
  7. lordi

    lordi Poster 2.0

    Messages:
    183
    Likes Received:
    17
    Trophy Points:
    18
    oke mas, akan saya coba install maldet , terima kasih :)

    sedikit update dari monitoring mikrotik temen saya :

    IMG-20160113-WA0006.jpg

    terlihat di sana, port 53 dari server saya transmit ke port 4444 ke luar dan juga beberapa port lain
    total Tx 3.3 Mbps , besar sekali , normalkah itu ? :39:
     
  8. sentabi

    sentabi Expert 1.0

    Messages:
    681
    Likes Received:
    35
    Trophy Points:
    28
    data besar ini punya ukuran ngga? emang traffic biasanya seperti apa?

    pake iftop keliatan kan yang 'makan' bandwidth gede contoh ini screenshot
    [​IMG]
    contoh diatas saya download ISO dari kambing.ui.ac.id

    cek lagi ngapain tuh si bebas.ui.ac.id (sederhananya)
    Code:
    tcpdump -i enp3s0 | grep bebas.ui.ac.id
    dan masih banyak cara lainnya. kalo emang hostname/IPnya dirasa mengganggu di blokir aja lewat firewall atau di ratelimit
     
    lordi likes this.
  9. paijo2

    paijo2 Apprentice 1.0

    Messages:
    233
    Likes Received:
    30
    Trophy Points:
    28
    dns services dimatikan saja jika tidak perlu ,

    perlu ditelusuri lagi tuh

    Code:
    lsof -i tcp:53
    
    Code:
    netstat -nta | grep 53
    
    ini one to one kah di mikrotiknya ? atau di cisco ?
     
    lordi likes this.
  10. lordi

    lordi Poster 2.0

    Messages:
    183
    Likes Received:
    17
    Trophy Points:
    18
    Mikrotik hanya sebagai limiter bandwidth aja, dia di bridging dengan Firewall Cisco
    dan kebetulan servernya juga cisco, ehehehe :D

    okeh, banyak sekali masukan, saya akan coba satu persatu neh :) :77:

    forum yang sangat membantu pemula seperti saya dalam hal server :113:
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...