Internetanvändning av server i topp

Hej,
har ett "problem". Installerade för ett tag sedan Vnstat skojs skull på min server. Märkte idag att trafiken ut från servern låg på väääldigt hög nivå (vi snackar 700 gig ut /30 in i januari och 27 gig ut det senaste dygnet). Detta trots att jag inte använder servern i princip alls. Det som körs på den som är krävande är Plex antar jag men det används knappt längre. Fick ett tips på att använda nethogs. Efter att inte sett någon märkbar traffik alls så gick samba helt plötsligt upp väldigt mycket trots att jag inte förde över några filer alls.

skulle någon kunna hjälpa mig lista ut vad den kan vara? Är livrädd att jag har något som leechar all min trafik, inte så jättesugen på att min server hamnat i ett botnet eller liknande.

Det verkar som det är sent på kvällen som trafiken går i taket.

Orkar ju inte stänga av och sätta på samba hela tiden. Enda anledningen till att jag har samba är för att jag använder servern som fillagring för min stationära dator. Hur menar du med monterad fileshare? Kom på nu att jag har monterat serverns HDD på min stationära för plex men då den datorn stängs av på natten borde inte det vara problemet.

Kan ju alltid köra MWB på mina fileshares via stationära.

Ska testa det, tack!
Edit: kan ju säga direkt att IP-adresserna säger inte mig något. Såg dock att en viss IP i Kina(antar att man inte får posta IP-adresser) kommunicerar med min dator via port 8012. Enligt http://www.speedguide.net/port.php?port=8012 är det en port för trojan. Låter ju inte superbra.

Jobbat en del med wireshark under utbildningen och kika på paket, det är spännande men tror det finns mer givande verktyg för just detta

Så uppenbart är det dock inte, det var ju bara ett stickprov.

Ja det är ju en port jag inte öppnat så det är lite sådär.

/usr/bin/python brukar också toppa listan men det är inte särskilt mycket trafik det rör sig om.

IP-adresser:
https://www.abuseipdb.com/check/112.85.42.102
https://www.abuseipdb.com/check/121.18.238.104
74.218.38.10

Dessa är de adresser nethogs ger mig. Det ser ju inte så ljust ut. Portarna det gäller är 35033, 63374, 64338, 31694, 3333. Alla processer körs som root.

Kanske dags att installera om ubuntu? Hur går jag till väga när jag har filer jag vill rädda och se till så att inte viruset följer med. Har 1 hårddisk där bilder och OS finns på samt 1 där massa filmer/serier lagras på.

Tacksam för hjälp!

Edit: ser att 1 av dem är anmäld för brute-forcing. Kan det vara så att den försöker ta sig in men inte lyckas då?

Om du scrollar ner på länken jag gav så ser du att den ena är anmäld 26 gånger och den andra ~900 gånger för bl.a bruteforcing.

Jag har bara standardportar öppna dvs HTTP, FTP, SSH samt portar för Deluge, webmin, openvpn och plex.

Tycker du? Tyckte inte det var så många Men då internetanvändningen går galet så tänkte jag reformatera om hela min server och installera om unix på nytt.

Det enda som jag inte vill göra om är min blogg. Är det någon som vet hur man kopierar en wordpress.org blogg så att man inte behöver göra om den?

Tack för infon. Antar att när jag dumpar DB så får jag en fil (wpdatabasedump.sql) och att jag sedan kan använda denna till att återställa.

Du får gärna utveckla ditt tänkande och framförallt då du låter negativt inställd till det komma med ett bättre förslag. Har nu stängt ner majoriteten av portarna och har bara SSH, Plex och HTTP öppet. Jag använder SSH mycket utifrån då jag inte kör något VPN.

Edit: även installerat Fail2ban och tittar lite på det.

Problemet är att jag hade openVPN installerat tidigare och det funkade ett tag (särskilt intressant för mig då jag flyttar till Kina) men sen slutade det funka och jag fick aldrig bukt på det. Utöver det så har jag inte fast IP vilket gjorde att varje gång routern av någon anledning la av så slutade den funka såklart och jag kunde inte få tag i IP-adressen utomlands utan behövde någon på plats för tillgång till maskinerna.

Tyvärr håller jag just nu på att slänga över en ny version av 16.04 ubuntu server då jag behövde ett fredagsnöje + att det ger mig möjlighet att rensa ut allt skit på servern. Då jag mest leker runt har det blivit att rätt mycket skit ligger kvar ovanpå så nu har jag möjlighet att fixa om allt. Enda problemet är väl att jag inte formaterar om den disken som min media är lagrad på så kan kanske vara värt att scanna den också.

Jag ber om ursäkt om du missuppfattat mig men jag är inte emot det du sa, jag förstod bara inte det helt. Jag har nu följt ditt tips och har i princip inga portar öppna.

Du har inte helt fel, jag hade porten för OpenVPN öppen men inte det installerat, det var sen tidigare. Ska försöka få igång det nu igen.

EDIT: Fråga, varför använda VPN istället för SSH? Allt googlande jag får fram säger att det är lika säkert.

Detta funkade utmärkt (Efter x antal försök). Hade nu satt ett nytt lösenord på min mysql user så tog ett tag innan jag insåg varför det inte funkade men nu funkar det utmärkt.

En allmän fråga, nu efter denna "skräckupplevelse". Är det någon som har några allmänna tips på vad som behövs för att göra servern så säker som möjligt? Att ha så få portar som möjligt öppna & fail2ban verkar som en bra start.