Neuinstallation RootDS S4Y

K

Kato

Registered User
So nun hat es mich wohl erwischt. Anscheinend ist mein Server gehackt worden. Im Moment ist er von S4Y offline genommen worden.

Es wird wohl auf eine Neuinstallation hinaus laufen, damit keine Hintertüren offenbleiben. Da ich bisher noch keine Neuinstallation machen musste würde mich wirklich interessieren, wie ich möglichst viele der Daten auf "danach" rüber rette. Also z.B. die Confixx-Konfiguration und -datenbanken mit den Domains etc. Oder muss das alles wieder manuell angelegt werden? :eek: Gibt es etwas was man beachten muss, bzw. vielleicht kann jemand von seinen Erfahrungen mit einer Neuinstallation berichten?

Da hier Supportler von der intergania mitlesen, vielleicht kann jemand einen Blick auf 240112 werfen und mir das Ding so schnell wie möglich im Rescue-modus zur Verfügung stellen? Natürlich würde mich auch interessieren was mein Server verbrochen hat. DoS oder Spam?
 
Hi,

den habe ich vorhin selber gesperrt wegen:
Code: 
root@df-rs-l21:~# vzctl exec 240112 ps axfww
  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [3]
 1688 ?        S      0:00 syslogd -m 0
 1703 ?        S      0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
13805 ?        S      0:00  \_ sshd -i
13830 ?        S      0:00  |   \_ sshd -i
13831 pts/0    S      0:00  |       \_ -bash
18034 pts/0    S      0:00  |           \_ /bin/bash ./start 134.198
18035 pts/0    R      0:00  |               \_ ./pscan2 134.198 22
23985 ?        SN     0:00  \_ sendmail -Am -bs
23989 ?        SN     0:00  \_ sendmail -Am -bs
24260 ?        SN     0:00  \_ sendmail -Am -bs
24261 ?        SN     0:00  \_ sendmail -Am -bs
24417 ?        SN     0:00  \_ sendmail -Am -bs
24422 ?        SN     0:00  \_ sendmail -Am -bs
25659 ?        SN     0:00  \_ sendmail -Am -bs
25673 ?        SN     0:00  \_ sendmail -Am -bs
 1715 ?        S      0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
 1751 ?        S      0:00  \_ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysqld/mysqld.pid
+--skip-locking
 1759 ?        S      0:00 /usr/sbin/httpd
 1763 ?        S      0:00  \_ /usr/bin/perl /root/confixx/pipelog.pl
 1811 ?        S      0:00  \_ /usr/sbin/httpd
27925 ?        S      0:00  \_ /usr/sbin/httpd
 3386 ?        S      0:00  \_ /usr/sbin/httpd
 1782 ?        S      0:00 /usr/java/j2sdk1.4.2_09/bin/java -mx128m -Djava.endorsed.dirs=/opt/tomcat/common/endorsed -classpath
+/usr/java/j2sdk1.4.2_09/lib/tools.jar:/opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/commons-logging-api.jar -Dcatalina.base=/opt/tomcat -Dcatalina.home=/opt/tomcat
+-Djava.io.tmpdir=/opt/tomcat/temp org.apache.catalina.startup.Bootstrap start
 1793 ?        S      0:00 crond
 1817 ?        S      0:00 /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
25716 ?        R      0:00 ps axfww
Aufgefallen ist das nur, weil der beim SSH-Scan fast 50 Mbit verbraucht hat.
 
Last edited by a moderator:
HI,
dankke für die Nachricht!!
Sehr ich richtig, dass das hier:
Code: 
 1703 ?        S      0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
13805 ?        S      0:00  \_ sshd -i
13830 ?        S      0:00  |   \_ sshd -i
13831 pts/0    S      0:00  |       \_ -bash
18034 pts/0    S      0:00  |           \_ /bin/bash ./start 134.198
18035 pts/0    R      0:00  |               \_ ./pscan2 134.198 22

das Problem ist?? Finde ich ja schon toll, dass das gleich auffällt, das etwas nicht stimmt bevor vielleicht noch mehr Schaden angerichtet wird.
Hast du vielleicht auch Einfluss darauf, wie ich an das Ding wieder rankomme? Angeblich soll HEUTE noch ein entsprechendes Faxformular über das Ticketsystem zur Verfügunge gestellt werden. Dort sehe ich aber nur die Info VServer gesperrt. Na ja und per e-mail kommt es natürlich wegen dem gesperrten Server nicht an. :rolleyes:
 
Ja das ist das Problem :)

Du bzw ein Eindringling hat es geschafft einen Portscan laufen zu lassen der 50MBiT in der Sekunde beansprucht hat :eek:
 
In der Hoffnung, dass hier eine Supportler mitliest:

Das Fax ist seit heute morgen 7:56 durch. Seitdem warte ich darauf, dass der Server im Recovery-Modus wieder hochgefahren wird. Normalerweise eine Sache von Minuten wenn ich das über das Power Panel mache.
Da sonntag ist hätte ich auch Zeit mich noch um den Server zu kümmern. Servernummer 240112.
 
Hallo,

....Da sonntag ist ....
Click to expand...

Da Sonntag ist, kannst du auch davon ausgehen das das ein wenig dauert ;)

Sonntag eben, weil viele andere (wie du auch) zu Hause sein wollen ;)
 
Hi,

@Kato: Ich hab da von hier keinen Einfluss drauf, wenn das Fax heute morgen raus ist, kuemmert sich da auch noch jemand drum, am Wochenende kann sowas halt mal etwas laenger dauern.
 
mbroemme said:
@Kato: Ich hab da von hier keinen Einfluss drauf
Click to expand...

Schade.

mbroemme said:
am Wochenende kann sowas halt mal etwas laenger dauern.
Click to expand...

Ja klar. Deswegen schreibe ich ja auch erst nachdem ich nun 24 Stunden hinter der Sache her bin und ich gestern leider auch unzutreffende Infos vom Support bekommen habe. Aus meiner Sicht ist es halt mehr oder weniger ein Knopfdruck um den Server im Recovery-Modus zu starten, weil ich ja keine Backups oder Bereinigung durch euch angefordert habe. Daher wäre es schon schön wenn sich da heute noch was täte.
 
Na da hätte ich mir das Warten auch sparen können. Aussage vom Support heute (Montag) morgen:
"Der Mitarbeiter, der das Fax bearbeitet und den Server freischaltet war am Sonntag gar nicht da und kommt erst heute um 9:00" Aber wenigstens ist das Fax angekommen.
 
Der Server ist immer noch nicht freigeschaltet. Eben nochmal mit dem Support telefoniert, diesmal direkt mit einem Techniker. Er konnte leider nicht sehen ob und dass das Fax angekommen ist. Lt. seiner Aussage dauert es 5 Minuten zwischen Faxempfang und Freischaltung. Ich warte nun seit.......41 Stunden.
 
Fax nochmal geschickt. Diesmal direkt an den entsprechenden Mitarbeiter. Und siehe da. Das Ding ist freigeschaltet. Vielen Dank, falls das Herr H. hier liest. Aber ich frage mich warum nicht gleich so?
 
Weil ein Fax in großen Firman manchmal einfach nicht dort ankommt, wo es sollte.
Das ist nicht schön, keine Frage.. erlebt man aber eigentlich in fast jeder Firma, die mehr als 50 Mitarbeiter beschäfftigt. Grade wenn man dann am Wocheneinde ein Fax schickt, und der Mitarbeiter der sich um die Faxe kümmert nicht da ist, geht sowas schnell mal unter. Du wirst ja nicht der einzige sein der S4Y ein Fax schickt. Da muss nur mal wer ein Fenster aufmachen und schon liegt es auf dem Boden. Klingt trivial, aber manchmal sind es echt diese Kleinigkeiten.
 
sYsCoM said:
Klingt trivial,
Click to expand...

Ja das ist mir jetzt auch zu trivial und führt auch an meiner Schilderung vorbei:
Heute morgen kurz vor 8 konnte mir ein Mitarbeiter am Telefon sagen, dass das Fax angekommen ist, nachdem er im Computer geschaut hat.
Heute mittag um 11.30 konnte mir ein anderer Mitarbeiter nicht sagen ob es angekommen ist nachdem er im Computer nachgeschaut hat. Daher habe ich es noch einmal geschickt.
Die Aussagen vom Support sind bisher in der ganzen Sache einfach widersprüchlich daher muss man den Dingen einfach hinterher sein.
 
Huch.. ok, entschuldige. Das hatte ich falsch gelesen bzw. nur überflogen.
Wobei man es trotzdem darauf schieben kann das der Betrieb wohl zu groß ist -> die linke Hand weiss nicht was die Rechte tut.

Schön ist das trotzdem nicht, keine Frage.
 
sYsCoM said:
Huch.. ok, entschuldige.
Click to expand...

Kein Problem. Ist ja nichts passiert.
Ich glaube die Firma könnte jemanden gebrauchen, der die Prozesse strukturiert und optimiert, damit die Mitarbeiter keine unzutreffenden und widersprüchlichen Aussagen treffen.
Das könnte so aussehen:

1. MA Technik sperrt Server, muss Grund angeben
2. Dieser Grund erscheint auch im PW Panel des betroffenen Servers
3. Das entsprechende Formular (entsprechend des Grundes) ist im PW zum Abruf bereit
4. Fax geht bei S4Y ein, MA muss den ordnungsgemäßen Eingang eingeben zusammen mit gewählter Option des Kunden.
5. Der Eingang des Faxes wird ebenfalls auf der Website bestätigt
6. Gemäß definierter Vorgabe (z.B. 4 Stunden) beginnt ein Timer zu laufen, Auftrag zur Entsperrung wird der Technik zugewiesen zusammen mit spätestens erlaubter Endzeit.
7. Je nach Arbeitsanfall wird der Server innerhralb der definierten Endzeit entsperrt.

Mit dieser Vorgehensweise hätte ich am Samstag nicht ein Einziges Mal beim Support anrufen müssen. Ich hätte nicht am Sonntag beim Support anrufen müssen. Und ich hätte am Montag nicht beim Support anrufen müssen, ob mein Fax da ist. Nur jetzt würde ich langsm unruhig werden, wenn sich der Timer der Endzeit nähert und der Server immer noch nicht erreichbar ist. -> Liegt aber im Moment daran, dass es der Start in den Power-Rescue-Modus nicht funktioniert.
 
Kurzes Zwischenupdate:
Ich komme zwar ins Powepanel. Aber der Server lässt sich nicht im Rescue-Modus starten: virtuozzo__vps_start() starting vps '240112000' failed

Hotline ist nicht erreichbar, da überlastet. Der Server ist inzwischen seit ca. 53 Stunden nicht erreichbar.
 
You must log in or register to reply here.
Back
Top