DNS-Server Fehler (Rootserver 1und1, Plesk 7.5.4)

  • Thread starter Thread starter budriel
  • Start date Start date
B

budriel

Guest
Hallo,

ich kann den DNS-Server nicht starten. Wenn ich auf start drücke bekomme ich diese Meldung:

Unable to make action: Unable to manage service by dnsmng: dnsmng: Service named failed to start
0: /usr/local/psa/admin/htdocs/server/restart_services.php:28 psaerror(string "Unable to make action: Unable to manage service by dnsmng: dnsmng: Service named failed to start")

Kann das durch einen Hack kommen? Wie kriege ich das zum laufen?
Ich habe mehrmals nen Neustart per 1und1 Kontrolzentrum gemacht...ohne Erfolg.

Bitte um Hilfe!! Danke!!
 
für rpm-basiernede distros:
Code: 
rpm -qvV bind

zeigt dir welche Dateien seit der installation des Nameservers verändert worden sind. Wenn keine binäre dateien gelistet werden, ist dein named wahrscheinlich nicht gehackt worden. In dem fall kannst du den Nameserver starten mit sowas wie
Code: 
/etc/init.d/named restart
und sehen ob es eine Fehlermeldung zurückgibt.

Wenn das nichts bringt, kannst du named direkt starten:

Code: 
/usr/sbin/named -t /var/lib/named -u named [b]-d 5 -f[/b]

Den genauen Befehl deine Distro ausführt um named zu starten kannst du sehen mit

Code: 
bash -x /etc/init.d/named start 2>&1 |grep  /sbin
 
Erstmal Danke für die schnelle Antwort!

Kurz zu Anfang...ich bin nicht so fit mit dem ganze Linux/Unix/Shell usw. Ich arbeite auf MAC OSX und hab das Terminal geöffnet und mich auf dem Root als Root eingeloggt. Dann hab ich "rpm -qvV bind" eingegeben...das kam raus:

Code: 
S.5....T c /etc/init.d/named
missing  c /etc/named.conf
.M...... c /var/lib/named/127.0.0.zone
.M...... g /var/lib/named/dev/log
.M......   /var/lib/named/dev/null
.M......   /var/lib/named/dev/random
.....UG.   /var/lib/named/dyn
......G. g /var/lib/named/etc/named.conf.include
.M......   /var/lib/named/etc/named.d
missing  g /var/lib/named/etc/named.d/rndc.access.conf
.M...... c /var/lib/named/localhost.zone
.....UG.   /var/lib/named/log
.M...... c /var/lib/named/root.hint
.....UG.   /var/lib/named/slave
.....UG.   /var/lib/named/var
.M......   /var/lib/named/var/lib
.M......   /var/lib/named/var/run
.M....G.   /var/lib/named/var/run/named

Da steht ja "missing" bei zwei Dateien. Was heisst das? Ich will jetzt ertsmal nix eintippen..will ja nix falsch machen.

Ach ja, der Root läuft auf Suse 9.1.
 
Ähem...ich konnte mich nicht beherrschen und hab "/etc/init.d/named restart" eingetippt. Das kam:

Code: 
Name server configuration file /etc/named.conf does not exist.

Wo is die named.conf den hin? Doch ein Hack?
 
Leg die Datei doch einfach an. touch /etc/named.conf und kopier dir dort eine entsprechende Config hinein.
 
Ok, hab eine Datei angelegt...nur was kopier ich da rein? Kannst mir da mal ein Beispile nennen?

Die andere "missing" wollte ich im gleichen Stil anlegen....ging aber nicht. Wie mache ich das?
 
Ich hänge dir einfach einmal meine Config an - du musst sie nur entsprechend anpassen. Ist von einem SuSE System.

Code: 
# Copyright (c) 2001-2004 SuSE Linux AG, Nuernberg, Germany.
# All rights reserved.
#
# Author: Frank Bodammer, Lars Mueller <lmuelle@suse.de>
#
# /etc/named.conf
#
# This is a sample configuration file for the name server BIND 9.  It works as
# a caching only name server without modification.
#
# A sample configuration for setting up your own domain can be found in
# /usr/share/doc/packages/bind/sample-config.
#
# A description of all available options can be found in
# /usr/share/doc/packages/bind/misc/options.

options {

        # The directory statement defines the name server's working directory

        directory "/var/lib/named";

        # Write dump and statistics file to the log subdirectory.  The
        # pathenames are relative to the chroot jail.

        dump-file "/var/log/named_dump.db";
        statistics-file "/var/log/named.stats";

        # The forwarders record contains a list of servers to which queries
        # should be forwarded.  Enable this line and modify the IP address to
        # your provider's name server.  Up to three servers may be listed.

        #forwarders { 192.0.2.1; 192.0.2.2; };

        # Enable the next entry to prefer usage of the name server declared in
        # the forwarders section.

        #forward first;

        # The listen-on record contains a list of local network interfaces to
        # listen on.  Optionally the port can be specified.  Default is to
        # listen on all interfaces found on your system.  The default port is
        # 53.

        #listen-on port 53 { 127.0.0.1; };

        # The listen-on-v6 record enables or disables listening on IPv6
        # interfaces.  Allowed values are 'any' and 'none' or a list of
        # addresses.

        listen-on-v6 { any; };

        # The next three statements may be needed if a firewall stands between
        # the local server and the internet.

        #query-source address * port 53;
        #transfer-source * port 53;
        #notify-source * port 53;

        # The allow-query record contains a list of networks or IP addresses
        # to accept and deny queries from. The default is to allow queries
        # from all hosts.

        #allow-query { 127.0.0.1; };

        # If notify is set to yes (default), notify messages are sent to other
        # name servers when the the zone data is changed.  Instead of setting
        # a global 'notify' statement in the 'options' section, a separate
        # 'notify' can be added to each zone definition.

        notify no;
};

# To configure named's logging remove the leading '#' characters of the
# following examples.
#logging {
#       # Log queries to a file limited to a size of 100 MB.
#       channel query_logging {
#               file "/var/log/named_querylog"
#                       versions 3 size 100M;
#               print-time yes;                 // timestamp log entries
#       };
#       category queries {
#               query_logging;
#       };
#
#       # Or log this kind alternatively to syslog.
#       channel syslog_queries {
#               syslog user;
#               severity info;
#       };
#       category queries { syslog_queries; };
#
#       # Log general name server errors to syslog.
#       channel syslog_errors {
#               syslog user;
#               severity error;
#       };
#       category default { syslog_errors;  };
#
#       # Don't log lame server messages.
#       category lame-servers { null; };
#};

# The following zone definitions don't need any modification.  The first one
# is the definition of the root name servers.  The second one defines
# localhost while the third defines the reverse lookup for localhost.

zone "." in {
        type hint;
        file "root.hint";
};

zone "localhost" in {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

# Include the meta include file generated by createNamedConfInclude.  This
# includes all files as configured in NAMED_CONF_INCLUDE_FILES from
# /etc/sysconfig/named

include "/etc/named.conf.include";

# You can insert further zone records for your own domains below or create
# single files in /etc/named.d/ and add the file names to
# NAMED_CONF_INCLUDE_FILES.
# See /usr/share/doc/packages/bind/README.SUSE for more details.
 
Boah..bitte nicht hauen, aber ich kriegs nicht hin. Ich weiss nicht wie ich so eine Datei öffne/bearbeite/speichere. Hab ich Terminal schon help usw. getippt aber irgendwie bin ich da zu doof für. :confused:

Kannst du mir bitte sagen wie ich das mache...und wo ich da was ändern soll?

Schonmal fetten Dank!!
 
So, hab das hinbekommen. Aber wenn ich den Dienst jetzt per Plesk starte, dann kommt immernoch die selbe Meldung!


ps: Ich hab mal den Server neugestartet....immernoch OFF der DNS-Dienst!

ps 2: Das meine Emails im Nirvana landen liegt wohl auch an dem Problem??
 
Last edited by a moderator:
Also, ich hab eben mal mit dem Support von 1&1 telefoniert. Die meinen das es stark nach Hack aussieht und ich doch lieber den Server plätten soll. Da nur Suse 9.3 mit Plesk 8 verfügbar ist, wäre dann aber die kompatibilität von meinen BAckups nicht gegeben. Die würden mir auch Plesk 7.5.4 draufmachen.

Werd jetzt mal meine Daten soweit nochmal sichern und heute abend plattmachen.


...oder es gibt mir jemand ne bessere Alternative :)

Nochmal Danke für die Hilfe bis jetzt!
 
Nur zur Information, könntest du nachschauen ob es verdächtige Zone-Updates auf deinem Server gibt?

Code: 
cd /var/log
egrep zone.*IN messages

Das gibt dir bestimmt eine ewig lange liste, aber schau mal ob es irgendwelche DNS Zonen gibt die dir nicht gehören.

Du kannst auch nachschauen ob jemand für sich einen Benutzerkonto eingerichtet hat mit
Code: 
grep useradd /var/log/messages

Wenn du da etwas findest was nicht gehört, kannst du sicher sein daß dein Server gehackt worden ist. Komplett neuaufsetzen ist die einzige Möglichkeit sicher zu sein, daß irgendwelche Schädlinge nicht in schatten versteckt sind.
 
Bei dem ersten kamen nur ein paar Einträge...zB:

named[1845]: zone 160.160.217.in-addr.arpa/IN: loading master file 160.160.217.in-addr.arpa: file not found

Ich hab natürlich keine Ahnung ob die Zone mir gehört oder nicht.

Ihr fragt euch bestimmt " Warum hat den der Noob nen Rootserver?" Der Root dient uns als Backup der Lokalen Daten...und paar kleine Websites sind drauf.


Bei dem "grep" kam garnix raus.
 
He, selbst noobs brauchen ihr Platz im netz ;)

wenn die IP-Adresses von deinem Server mit 217.160.160. anfangt gehört die Zone schon in deinem Nameserver. Du kannst mal schauen ob die dateien überhaupt noch existieren auf deiner platte mit
Code: 
locate 160.160.217.in-addr.arpa

Aber die felhenden Dateien machen alles hier sehr verdächtig.
 
Die IP sieht nicht so aus! ..und wenn ich den Code eingebe kommt "command not found".

Is wohl sehr verdächtig das Ganze. Kann ich da was machen...ohne kompletten neuinstall?
 
Hi, Budriel

Jow! Wenn das nicht dein IP ist, hat jemand da rumgefümmelt;in der log-datei die du mir gestern abend geschickt hast sieht alles normal aus, außer daß die IP-Adressen dir nicht gehören. Das ist wahrscheinlich schon ein hack. Leider kann man nie sicher sein, ob etwas wie ein rootkit auf deinem Rechner installiert wurde.

Hol dir chkrootkit und lass ihn ein paar mal laufen.

Code: 
yast -i chkrootkit
cd /sbin
./chkrootkit

Der findet nicht immer alles, aber kann einiges nachprüfen. Plesk-Benutzer kriegen öfters den Fehler "Checking `bindshell'... INFECTED (PORTS: 465)", also das kannst du ignorieren.
 
Hi Rubeon,

den ich bekomme den chkrootkit nicht. Wenn ich deine Befehle eintippe.

Ich hab jetzt gemerkt das jeden morgen die Domains nicht erreichbar sind. Einloggen ins Panel ist möglich. Meine Emails gehen auch nicht mehr. Ich mach denn immer nen Reboot von Control-Center aus (Emails funzen dann aber trotzdem nicht.

Um eine Neuinstallation komm ich wohl nicht rum. Bis ich Amatuer das böse Script oder was ähnliches gefunden hab, daeuert es zu lange...wenn ich überhaupt was finde. Werde jetzt BAckupen was geht und dann Suse 9.3 mit Plesk 8 aufsetzen.

Gleich mal ne Frage zu Plesk 8: Soll ich dann gleich weiter updaten? Ich weiss jetzt garnicht was da am sinnvollsten wäre. 1und1 bietet 8 an vom CC aus.
 
Ich hab gestern um 15h die Initialisierung per Control-Center angeworfen. Die ist heute immernoch nicht fertig. Da is wohl was schiefgelaufen. Den Support hab ich schon mehrfach angerufen, aber es kam noch kein Admin dazu da was zu machen oder die sind noch dabei :(

Kann man diese chkrootkit oder rkhunter als Schutz laufen lassen oder sind das Programme die man ab und zu mal laufen lassen soll um zu checken?

Welche ist den die letzte Plesk Version die ich draufmachen soll?
 
You must log in or register to reply here.
Back
Top