Nach DoS-Attacke & Serverreboot Daten gelöscht

[opportunist]

Hallo,

heute war es mal wieder soweit, mein Server fiel einer DoS-Attacke zum Opfer. Der Apache hängte sich sofort auf, nichts war mehr zu erreichen. Ich fing also an, mittels der externen Firewall von 1&1 die Person die Angreift vorerst bei seiner IP zu sperren. Ich trug seine IP-Adresse also in die externe Firewall ein, sperrte ihn. Bei meinem Sperrversuch machte ich leider einen Fehler, ich stellte die Defaul-Police auf "deny". Somit war der Zugang geblockt, und für mich sah es aus, als würde der Angriff anhalten. Einziger Unterschied: Beim Versuch mich in Plesk einzuloggen, funktionierte das nicht, denn ich war ja ausgesperrt, so wie jeder andere, wegen dem falschen Defaultwert. Ich habe das mit dem Wert nicht sofort bemerkt, versuchte den Server als per Recovery-Manager neuzustarten - dies klappte auch. Nach langem hin und her funktioniert Plesk nu wieder einwandfrei, jedoch sind alle vorhandenen Domains, Inhalte, Datenbanken verschwunden. Das komplette /home-Verzeichnis ist leer, einzige Datei: "not-mounted" 0kb.

Mir dreht sich gerade der Magen um, sind die Inhalte des Homeverzeichnis nun unwiderruflich verschwunden, oder habe ich einfach etwas übersehen?

Ich hoffe sehr, dass ihr mir helfen könnt!

Grüße,
Oliver.

 

[Huschi]

Was steht in der /etc/fstab ?
Ist evtl. der home-Bereich auf einer anderen Partition?
Evtl. mußt Du die erst mit einem fschk behandeln und dann mounten.

huschi.

 

[opportunist]

Hi Huschi,

danke für die schnelle Reaktion.

Der Inhalt der /etc/fstab:

/dev/md1 / ext3 defaults 1 1
/dev/sda2 none swap sw
/dev/sdb2 none swap sw
/dev/md5 /usr xfs defaults 0 2
/dev/md6 /var xfs defaults,usrquota 0 2
/dev/md7 /home xfs defaults,usrquota 0 2
devpts /dev/pts devpts gid=5,mode=620 0 0
none /proc proc defaults 0 0
none /tmp tmpfs defaults 0 0

Ich habe schon das eine oder andere mal geholfen, und ich weiß nicht, ob es an der Aufregung liegt, aber: Könntest du mir ein wenig behilflich sein, wie ich genau vorgehe? mir fehlt grad der Durchblick, und die Sicherheit, richtig zu mounten. Will nichts beschädigen und evtl. unbrauchbar machen.

Wäre toll, wenn du mir da helfen könntest.

Oliver

 

[Huschi]

Normalerweise reicht ein 'mount /home' da er die restlichen Parameter aus der fstab kennt.
Wenn dabei ein Fehler auftritt meldet er sich schon.

huschi.

 

[opportunist]

Danke nochmal.

Der Versuch /home zu mounten gibt nur folgenden Fehler:

mount: Unknown error 990

Leider ist der Fehler kaum Informativ, mit google habe ich auf die Schnelle nichts hilfreiches gefunden. Kannst Du diesen Fehler zuordnen?

 

[Huschi]

Für mal xfs_repair für /dev/md7 aus.

Sind denn alle anderen Partitionen gemountet?

huschi.

 

[opportunist]

Ich bin mir nicht sicher, aber ich glaube ich habe Dir schonmal gesagt ich gebe dir einen aus, weil du mir geholfen hast. Jetzt gebe ich dir noch einen Zweiten aus! Habe die Partition gemountet, mit der -L Option ließ es sich reparieren.

Vielen Dank für deine Hilfe, ohne Dich wäre ich heute aufgeschmissen gewesen. Habe nun aber durch diesen Mist mal wieder eine ganze Menge dazugelernt - war es nicht ganz umsonst.

Vielen Dank!

 

[Huschi]

Jetzt gebe ich dir noch einen Zweiten aus!

Ich kann Dir gerne meine Amazon-Wunschliste zukommen lassen...
Du kannst aber auch gerne warten bis Thorsten mal ein User-Treffen organisiert...
(wink mit der Tastatur)

huschi.

 

[opportunist]

Dann entscheide ich mich für das Usertreffen, und werde mich dort bedanken. *grins*

 

[djrick]

Ha Thorsten und Usertreffen, der kriegs ja net mal hin mein Tshirt zu verschicken