Traffic mencurigakan dari server


Status
Not open for further replies.

lordi

Apprentice 1.0
okey, sedikit pertanyaan terkait monitoring bandwidth
saya mempunyai server Centos based, webpanel ISPConfig 3 dengan konfigurasi NAT menggunakan Cisco. IP lokal redirect ke publik IP.
Temen saya yang kebetulan merupakan network admin menanyakan kenapa server saya melakukan transmit data yang besar ke luar.
Saya mencoba menginstall iftop dan mencoba cek logging yang dihasilkan, tetapi masih bingung bacanya :D
apakah ada cara untuk mencek, kalau ada malicious activity terkait bandwidth ini? mungkin virus, atau bot atau atau apapun?
saya masih newbie dalam pengelolaan dedicated server soalnya khususnya keamanan:D
mohon bimbingan step by step untuk menginvestigasinya :D
 

lordi

Apprentice 1.0
wuah makasih infonya semuanya, saya sudah install nethogs, sementara dalam posisi running,
oh ya untuk sementara saya lihat di nethogs tidak ada yang mencurigakan, traffic e rendah, tapi di iftop kok lain yak bos,
coba lihat di foto yang sempet saya capture tadi

WP_20160113_001.jpg

koneksi aneh apa itu yah?
apakah dengan rate yang kadang mencapai full 3 mbps itu normal yak?

IMG-20160113-WA0005.jpg

ini yang menjadi dasar temen saya komplain ke saya, monitoring dari mikrotik
 
Last edited:

lordi

Apprentice 1.0
oke mas, akan saya coba install maldet , terima kasih :)

sedikit update dari monitoring mikrotik temen saya :

IMG-20160113-WA0006.jpg

terlihat di sana, port 53 dari server saya transmit ke port 4444 ke luar dan juga beberapa port lain
total Tx 3.3 Mbps , besar sekali , normalkah itu ? :39:
 

sentabi

Expert 2.0
data besar ini punya ukuran ngga? emang traffic biasanya seperti apa?

pake iftop keliatan kan yang 'makan' bandwidth gede contoh ini screenshot
DxN0c1u.png

contoh diatas saya download ISO dari kambing.ui.ac.id

cek lagi ngapain tuh si bebas.ui.ac.id (sederhananya)
Code:
tcpdump -i enp3s0 | grep bebas.ui.ac.id

dan masih banyak cara lainnya. kalo emang hostname/IPnya dirasa mengganggu di blokir aja lewat firewall atau di ratelimit
 

paijo2

Apprentice 1.0
oke mas, akan saya coba install maldet , terima kasih :)

sedikit update dari monitoring mikrotik temen saya :

View attachment 2027

terlihat di sana, port 53 dari server saya transmit ke port 4444 ke luar dan juga beberapa port lain
total Tx 3.3 Mbps , besar sekali , normalkah itu ? :39:

dns services dimatikan saja jika tidak perlu ,

perlu ditelusuri lagi tuh

Code:
lsof -i tcp:53

Code:
netstat -nta | grep 53

ini one to one kah di mikrotiknya ? atau di cisco ?
 

lordi

Apprentice 1.0
ini one to one kah di mikrotiknya ? atau di cisco ?

Mikrotik hanya sebagai limiter bandwidth aja, dia di bridging dengan Firewall Cisco
dan kebetulan servernya juga cisco, ehehehe :D

okeh, banyak sekali masukan, saya akan coba satu persatu neh :) :77:

forum yang sangat membantu pemula seperti saya dalam hal server :113:
 
Status
Not open for further replies.

Top