Hög datatrafik. Kolla lämplig log-fil?

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016

Hög datatrafik. Kolla lämplig log-fil?

Har en router ansluten till en RPI:s LAN-port och nu har routern indikerat hög datatrafik. Inte bra.
Var kan man ev. se log-filer som berättar om vad som skett? Källa och när i tid.
Tar tacksamt emot tips.

Har installerat mail men inaktiverat den från den programvara som jag gjort.
Egentligen skulle jag vilja fimpa mailen helt. Den användes mest under utvecklingsfasen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2001

Du behöver vara mer utförlig i din beskrivning av din setup.

Argaste

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2011

@Sweedland: Vad kör den för OS?

Linux: the operating system with a CLUE; Command Line User Environment.

GNU/Linux

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av GLaDER:

@Sweedland: Vad kör den för OS?

Just denna det gäller använder Raspian.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2007
Skrivet av Sweedland:

Just denna det gäller använder Raspian.

Om du loggar in på routern, kan du få fram något där?

|| Cooler Master MasterCase Pro 5 || AMD Ryzen 7 1700 || AMD Wraith Spire ||
|| ASUS Prime B350-Plus || Corsair Vengeance LPX DDR4 3000MHz 16GB ||
|| GTX 970 4GB G1 GAMING ||
|| Corsair SSD Force GT 120GB || Samsung SSD 840 EVO 250GB ||
||Samsung SSD 850 EVO 500GB || Western Digital Green 1TB ||

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av TommyToad:

Du behöver vara mer utförlig i din beskrivning av din setup.

Har script som aktiveras av cron var 5:e minut. Ett av dessa script skickade tidigare mail var 5:e minut. Skrev därför MAILTO="" överst i crontab. Har ej hunnit kolla om det hjälpt.
Sen har jag tidigare fått mail med innehållet /usr/sbin/anacron. Detta återfinns i /etc/crontab.

Tyvärr har jag inte satt mig in i detta speciellt mycket som ni hör. Jag behöver få kontroll på denna lust o skicka mail hela tiden.

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av Nepo:

Om du loggar in på routern, kan du få fram något där?

Har inte loggat in på själva routern. Portalen, som administrerar IP-adresserna, har ingen log. Bara datamängd.
Ska ta mig in i routern...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2001
Skrivet av Sweedland:

Har script som aktiveras av cron var 5:e minut. Ett av dessa script skickade tidigare mail var 5:e minut. Skrev därför MAILTO="" överst i crontab. Har ej hunnit kolla om det hjälpt.
Sen har jag tidigare fått mail med innehållet /usr/sbin/anacron. Detta återfinns i /etc/crontab.

Tyvärr har jag inte satt mig in i detta speciellt mycket som ni hör. Jag behöver få kontroll på denna lust o skicka mail hela tiden.

Okej...
Så, du har en Raspberry Pi, som du kör bakom en router? Vad är det för router? Tillverkare, modell, etc?
Routern har nu mailat dig och berättat att din Raspberry Pi använder mycket datatrafik? Är det en typ 4G-router med simkort?
Vad kör Raspberryn och vad är den till för?
Vad är det för script du kör var 5:e minut?

Argaste

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av Nepo:

Om du loggar in på routern, kan du få fram något där?

Loggade in där och noterade att data förbrukades hela tiden jag var inne på den sidan - det är ju helt naturligt. Det som *kan* ha hänt är att "nån" lämnat routerns sida öppen i web.läsaren över lunch och sen har det slunkit ut en hel del meg.
Det bör ju belasta SIM-kortet.

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av TommyToad:

Okej...
Så, du har en Raspberry Pi, som du kör bakom en router? Vad är det för router? Tillverkare, modell, etc?
Routern har nu mailat dig och berättat att din Raspberry Pi använder mycket datatrafik? Är det en typ 4G-router med simkort?
Vad kör Raspberryn och vad är den till för?
Vad är det för script du kör var 5:e minut?

Teltonika RUT240 heter routern. Routern stödjer 2G/3G/4G så vitt jag vet. Har inte läst in mig på routern.
Jag har inte fått nåt mail för jag är inte uppsatt som mottagare av dessa admin.mess. Jag var däremot in på portalen för kontrollera att inte min mjukvara "äter" data. Där var det en router som var nära 1 Gig i data medan de andra låg runt 50k.
Raspen driver runt en programvara som ligger bara o loopar tills användaren begär, via webläsare och apache, information. När rpi:n ligger o loopar så pingar den via ett buss-system ett nätverk av klienter.
Scriptet jag tänker på kontrollerar storleken på log-filer. En av dessa log-filer saknades näsr storleken kontrollerades och det fick jag en hel del mail om. Systemet skickar mail till ROOT (jag) eftersom den inte kan skicka till USER. Så har jag förstått mailet. Därav MAILTO="" i crontab.

Trädvy Permalänk
Medlem
Registrerad
Feb 2006

"nethogs" är bra för detta då den grupperar datatrafik per process.

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av stingray454:

"nethogs" är bra för detta då den grupperar datatrafik per process.

Det ska jag absolut testa. Har stängt av postfix och också vissa script som körs m.h.a cron. Det tycks inte åtgärda läckaget har jag sett nu efter helgen.
Vad händer om användaren inte loggar ur Apache? Blir det en timeout i den och den stänger?

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av Sweedland:

Det ska jag absolut testa. Har stängt av postfix och också vissa script som körs m.h.a cron. Det tycks inte åtgärda läckaget har jag sett nu efter helgen.
Vad händer om användaren inte loggar ur Apache? Blir det en timeout i den och den stänger?

beror på konfigurationen men default i en ren apache är att anslutningen är aktiv i 5 minuter dock så skall det per default inte gå någon trafik pga apache

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av stingray454:

"nethogs" är bra för detta då den grupperar datatrafik per process.

Undra om nethogs kan logga trafiken till SD-kortet också?

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016

För att övervaka i realtid:
netstat -ano|grep 443|grep ESTABLISHED
tcptrack -i eth0 port 443

Jag skulle rekomendera iptables när det handlar om att övervaka/logga trafik på en viss port, adda något sådant här:
sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

Allt som matchar HTTPS SYN te.x kommer att loggas i /var/log/messages, du kan ju logga allt så ser du vad för exempel som dyker upp så är de bara att köra igång efter eget behov.

För att se tidigare trafik så borde väl de finnas i /var/log/apache2/access.log eller /var/log/httpd/access_log, annars använd phpinfo() .

// wuseman

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av wuseman:

För att övervaka i realtid:
netstat -ano|grep 443|grep ESTABLISHED
tcptrack -i eth0 port 443

Jag skulle rekomendera iptables när det handlar om att övervaka/logga trafik på en viss port, adda något sådant här:
sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

Allt som matchar HTTPS SYN te.x kommer att loggas i /var/log/messages, du kan ju logga allt så ser du vad för exempel som dyker upp så är de bara att köra igång efter eget behov.

För att se tidigare trafik så borde väl de finnas i /var/log/apache2/access.log eller /var/log/httpd/access_log, annars använd phpinfo() .

// wuseman

Ska använda mig av dina tips. Jag installerade iftop i fredags em och innan jag åkte hem från jobbet så såg jag att det var en hel del trafik ut o in som verkade mer bero på att utrustningen var ansluten mot internet. Mitt program var "tyst" men datorn (Raspberryn) i sig hade trafik. Nu granskade jag inte nåt alls mer än att jag konstaterade trafiken. Ska kolla på måndag vad som försiggår. Nån log var aktiv ialla fall såg jag.

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016

@Sweedland: iftop fungerar minst lika bra, fint att du hittade iftop.

Vet inte om du kikat på apaches inbyggda verktyg också, men ifall att du inte provat så gör följande:
Öppna: /etc/httpd/conf/httpd.conf
Ta bort # från: #LoadModule status_module modules/mod_status.so

Lägg nu bara till följande i sites-enable/*.conf eller httpd.conf och besök sedan http://dinhemsida.com/server-status för att ha koll på din apache-setup:

<Location /server-status>
SetHandler server-status
Order deny, allow
Deny from all
Allow from xx.xx.xx.xx
</Location>

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/

Trädvy Permalänk
Medlem
Plats
Dalarna
Registrerad
Apr 2016
Skrivet av wuseman:

@Sweedland: iftop fungerar minst lika bra, fint att du hittade iftop.

Vet inte om du kikat på apaches inbyggda verktyg också, men ifall att du inte provat så gör följande:
Öppna: /etc/httpd/conf/httpd.conf
Ta bort # från: #LoadModule status_module modules/mod_status.so

Lägg nu bara till följande i sites-enable/*.conf eller httpd.conf och besök sedan http://dinhemsida.com/server-status för att ha koll på din apache-setup:

<Location /server-status>
SetHandler server-status
Order deny, allow
Deny from all
Allow from xx.xx.xx.xx
</Location>

https://sendit.nu/f/twkRPCD9C23CpD.jpg

Det där stycket som läggs till i sites-enable ser ut som ett filter för mig. Utan att veta så tror jag det är i Apache jag kan kontrollera datatrafiken. Det finns en kunskapslucka för mig där att fylla.