ESXi сервер с виртуальными машинами начал рассылать 600K пакетов в секунду, как решить эту проблему?
На сервере установлен гипервизор ESXi 5.5, на нем работают несколько виртуальных машин. Провайдер сообщает, что сервер начал рассылать в сеть 630 000 пакетов в секунду. Это может быть вызвано взломом, багами в програмном обеспечении или неверной настройкой IPv6.
Вопросы следующие:
1) Как выяснить какая из машин стала рассылать пакеты?
2) Как выяснить в чем причина рассылки?
1) Как выяснить какая из машин стала рассылать пакеты?
WireShark или отключать интерфейсы по очереди на каждой
2) Проверять что не так с той, которая рассылает
fomistoklus: оказалось, что потребление ресурсов процессором ВМ выросло до 3000MHz. Это примерно в сто раз больше чем нужно. Есть предположение, что это связано с установкой модулей в CentOS. Можно ли в этой ОС узнать какой модуль был установлен в конкретны момент времени?
1)Зайти на каждую машину и посмотреть активность на интерфейсах, по идее это можно глянуть даже в самом esxi
2)Смотрите какие программы запустил взломщик и выклюбчаете их
1)Этот вариант на данный момент не осуществим, потому что сервер пришлось перезапустить. После перезапуска машины работают нормально. Велика вероятность того, что активность интерфейсов снова резко возрастет, но не известно когда это случится.
2)Не подскажете как это можно сделать в win 2008 r2 и CentOS ? Есть команды для CentOS, которые выводят все установленные модули, но они выдают список из 1000 модулей. Потребуется много времени для того чтобы найти программу взломщика.
1)Это все решается элементарным мониторингом, попросите в конце концов адлмина настроить бекапы и мониторинг.
2)В винде обычный таск менеджер
в центосе обычный топ даст ответ
если вы не хотите сами возиться то наймите уже все таки админа )))
У вас есть виртуальная инфраструктура и нет мониторинга?! Срочно делайте мониторинг всех виртуалок и ESX-хоста. У вас там, похоже, дырки есть в гостевых системах, поэтому аномальный исходящий траффик может быть следствием взлома или атак в стиле DNS/NTP amplification. Патчите все гостевые системы и настраивайте мониторинг, который вам сообщит, если что-нибудь подобное опять начнётся.