J'ai été averti que mon serveur avait dépassé sa limite de transfert. Je pensais que mon nœud Tor était devenu populaire, alors j'ai choisi de le désactiver ce mois-ci (pas le meilleur choix pour la communauté mais je dois descendre). Ensuite, j'ai remarqué que le serveur a transféré environ 4 Go cette nuit. J'ai vérifié les journaux Apache avec Awstats, aucun trafic pertinent (et je n'y héberge pas de sites aussi populaires). J'ai vérifié les journaux de messagerie, personne n'a essayé d'envoyer des ordures. J'ai vérifié les messages
journaux et en ai trouvé des tonnes
Apr 29 10:17:53 marcus sshd[9281]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:07 marcus sshd[9283]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:24 marcus sshd[9298]: Did not receive identification string from 85.170.189.156
Apr 29 10:18:39 marcus sshd[9303]: Did not receive identification string from 86.208.123.132
Apr 29 10:18:56 marcus sshd[9306]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:11 marcus sshd[9309]: Did not receive identification string from 86.208.123.132
Apr 29 10:19:18 marcus sshd[9312]: Did not receive identification string from 101.98.178.92
Apr 29 10:19:27 marcus sshd[9314]: Did not receive identification string from 85.170.189.156
Apr 29 10:19:41 marcus sshd[9317]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:01 marcus sshd[9321]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:13 marcus sshd[9324]: Did not receive identification string from 86.208.123.132
Apr 29 10:20:32 marcus sshd[9327]: Did not receive identification string from 85.170.189.156
Apr 29 10:20:48 marcus sshd[9331]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:07 marcus sshd[9336]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:20 marcus sshd[9338]: Did not receive identification string from 86.208.123.132
Apr 29 10:21:35 marcus sshd[9341]: Did not receive identification string from 85.170.189.156
Apr 29 10:21:51 marcus sshd[9344]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:06 marcus sshd[9349]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:23 marcus sshd[9353]: Did not receive identification string from 86.208.123.132
Apr 29 10:22:39 marcus sshd[9359]: Did not receive identification string from 85.170.189.156
Apr 29 10:22:54 marcus sshd[9361]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:10 marcus sshd[9367]: Did not receive identification string from 85.170.189.156
Apr 29 10:23:29 marcus sshd[9369]: Did not receive identification string from 86.208.123.132
Apr 29 10:23:45 marcus sshd[9375]: Did not receive identification string from 85.170.189.156
Apr 29 10:24:10 marcus sshd[9387]: Did not receive identification string from 86.208.123.132
Apr 29 10:24:16 marcus sshd[9388]: Did not receive identification string from 85.170.189.156
Toutes les quelques secondes, un bot essaie de pirater mon SSH, ce qui est impossible car j'ai besoin d'une authentification par clé publique. Ma question est: ce trafic, à cette fréquence, peut-il consommer 4 Go (disons 3,5) en 10 heures d'attaque continue?
J'ai changé de port SSH et arrêté ces attaques, mais je ne suis pas sûr de la consommation de mon réseau. Je n'ai pas de services hors de contrôle en cours d'exécution - mon pare-feu est un peu restrictif -, ou je partage le serveur avec quelqu'un qui fait abusivement du P2P ou autre chose. Ma préoccupation est de descendre en dessous de 400 Go / mois.
Des conseils?