Арендую сервер для небольшого проекта на python. И вот приходит мне уведомление, что за сутки очень большой трафик (больше 500 гБайт), хотя реально было всего 3 посетителя. Ладно бы один раз такое, но как минимум двое суток продолжается ситуация, и хостер мне уже extra-счет готовит.

Полез я, значит, разбираться. И выяснилось, что кто-то сидел под root-ом и запустил какой-то скрипт. Теперь давайте по порядку.

Нагрузка по трафику — как все началось

Началось все с письма от хостинг-провайдера, что я превысил трафик-лимит. Странно, ведь посетителей на этом проекте всего-то 3-5 в сутки. Смотрю статистику по сайту — действительно, пару уникальных посещений.

Захожу в админ-панель хостера, а нагрузка шок:

Показатели по дням, слева — прошлый месяц, справа — текущий. Как видим, 12, 13 и 14 число сильная нагрузка. 14 числа вечером я стал разбираться.

Так как посетителей немного, подумал что проблема на самом сервере. Захожу, смотрю в процессах (htop) много обращений к файлу ready.txt от скрипта svmap.py, хотя я вообще не понимаю что это. Начинаю ходить по папкам и нахожу новую папку sip, где и размещен этот файл. Что странно — я его точно не создавал.

Значит, думается мне, кто-то еще сидит в системе.

Как убрать другие сессии в linux

Проверяю я командой who -u чьи сессии сейчас активны. А кроме меня еще один root , не с моего айпи (он, кстати, бьется по сервисам гугл, хотя ничего не устанавливал). Смотрю его ID процесса и «убиваю».

Сразу меняю пароль на root. Прошлый пароль нигде не палился, не сохранялся, я сидел не под рутом обычно. Да и пароль был не простой, а сгенерированый. Очень странная ситуация.

Что было спустя несколько дней

Трафик сразу упал. Я думаю, что кто-то поставил какой-то скрипт рассылки или что-то вроде того. По активным сессиям никого нового, кто был раньше last -i — тоже пусто.

Трафик стабилизировался, посмотрим что будет дальше.

Я в недоумении от такой ситуации. Я не специалист, но хорошо что так закончилось. У меня на сервере трафик лимитирован (брал под тесты, оставил один проект на сервере), и хостер уже хотел доплату выставлять.

А вы сталкивались с такой ситуацией? Или может такая же история с этим скриптом?

Добавлено позже.

Погуглил, и вижу что sip и скрипт svmap.py это скрипт интернет-защиты. Сканнер на сервере. Но я его точно не ставил, а хостер вряд ли — у меня не куплена поддержка. Да и зачем им она (защита), если она такой трафик тянет и столько обращений к другим айпи? Не понятно.