Notfall, Server stürzt minütlich ab!

so bin nun im /var/log/ ordner, was muss ich nun tun?

WICHTIG: Ist mir ausgefallen, über Nacht und Morgens läuft der
Server einbandfrei. Erst genau ab 13 Uhr, gestern und vorgestern
fängt er an zu spinnen!

So habe nun über MC die Logs vor mir. Habe mal riengeschaut, aber
keine Fehler erkennen können, irgendetwas auf das ich besonders
achten muss?
 
Last edited by a moderator:
Hallo,

Lightslayer said:
so bin nun im /var/log/ ordner, was muss ich nun tun?
Click to expand...
Logfiles lesen :) Mit warn anfangen.

Außerdem ohne Mount bzw nach exit - umount - umount den smartctl laufen lassen.
Code: 
smartctl -a /dev/hda

über Nacht und Morgens läuft der Server einwandfrei. Erst genau ab 13 Uhr, gestern und vorgestern fängt er an zu spinnen!
Click to expand...
Schick :eek:

Wie genau? Auf die Minute genau um 13 Uhr an beiden Tagen?

In den Werten von Smartctl ist bei vielen Platten die Temperatur drin, wenigstens ein Anhaltspunkt für die Servertemperatur. Kurz vor 13 Uhr wiederholen und sehen ob sie ansteigt.

Falls jemand um 13 Uhr eine DOS-Attacke auf den ssh startet kann er damit natürlich auch das Rescue abschießen. Kurz vor 13 Uhr den ssh abschalten:
Code: 
rcsshd stop
und beobachten ob der Server auf den anderen Ports funktionstüchtig bleibt. Den ssh wieder starten geht über einen einfachen Reset.

Alternativ den ssh auf einen anderen Port klemmen.
 
so bin nun in der Datei warn. Aufirgendetwas was ich achten muss, sind
ja tausende von Zeilen.

Eine Zeile fällt mir besonders oft auf:
error: PAM: User not know to the underlying authentication module for illegal user admin from .......
 
Hallo,

das ist ein Einbruchversuch, die hat jeder jeden Tag. Es kommt auf die Menge an. Steigen diese Versuche stark an um 13 Uhr an den letzten beiden Tagen?

Du hast irgendwo weiter oben von erhöhtem Traffic geschrieben. Wie stark erhöht, stiegt der genau um 13 Uhr?
 
Yepp kommen sehr häufrig vor!

Der Traffic steigt in Sekunden schnelle um mehrere hundert MB/ bzw. GB!

Habe gerade mal in die messages-20060719 geschaut und dort werden tausende Zeilen von dieser
Meldung angezeigt:


Anscheinend fing das alles schon Anfang Juli an!
 
Last edited by a moderator:
Hallo,

Lightslayer said:
Yepp kommen sehr häufrig vor!
Click to expand...
bei mir auch. :D Wie sieht's ab 13 Uhr aus?
Der Traffic steigt in Sekunden schnelle um mehrere hundert MB/ bzw. GB!
Click to expand...
Das spricht für DOS (Denial of Service), gemeint ist (absichtliches) Überfluten mit Anfragen.

Klemme SSH auf einen anderen Port:

In /etc/sshd_config bei Port 22 die Raute davor weg (falls eine da ist) und die 22 in 234 ändern.
Code: 
rcsshd restart
Der Server antwortet danach im Putty nicht mehr, Putty auf Port 234 stellen und neu verbinden. Wenn's klappt abwarten was um 13 Uhr passiert.

Hat Dein Server mehrere IPs?
 
Und unbedingt auf der bestehenden Console connected bleiben, bis man sich erfolgreich auf dem neuen Port eingeloggt hat! ;)
 
So habe über den MC die Datei bearbeitet und gespeichert, danach
diese Befehle in der Konsole ausgeführt:



Putty reagiert aber immer noch, irgend etwas flasch gemacht?
 
Hallo,

restart :) Und versuchen mit einem zusätzlichen Puttyfenster zu verbinden.

Vorsicht, da steht failed, kontrolliere nochmal die Änderung.

Wenn in /var/log/warn nach 13 Uhr Angriffsversuche protokolliert sind,kommen die alle von der gleichen IP oder von verschiedenen, falls verschiedene, kommen die IPs mehrfach vor?

Ist der Traffic auch massiv angestiegen zu den Zeiten als Du nach 13 Uhr im Rescue warst?
 
charli said:
Hallo,

restart :)

Wenn in /var/log/warn nach 13 Uhr Angriffsversuche protokolliert sind,kommen die alle von der gleichen IP oder von verschiedenen, falls verschiedene, kommen die IPs mehrfach vor?

Ist der Traffic auch massiv angestiegen zu den Zeiten als Du nach 13 Uhr im Rescue warst?
Click to expand...

habe ich schon gemerkt^^. Trotzdem er startet ihn nicht kommt
immer failed. Die anfragen kommen immer von der gleichen IP und
das Traffic steigt extrem an, ab 13 Uhr bis 22 Uhr. Kann ich die
Logs irgendwie lokal speichern und für euch hochladen?
 
Hallo,

verrate mal die ersten drei Gruppen der IP.

warn in einen Webspaceordner kopieren, Owner und Group wie bei den Webdokumenten setzen, Chmod 644 und den Link posten.

Ist es auch an verschiedenen Tagen die gleiche IP?
Ist Iptables installiert?
 


hier erst einmal ein frischer Screenshot für euch^^.

Werde mal den Ordner kopieren, kurzen moment!

Kurze Frage on wlechen Verzeichnisse liegen die Homepages?
 
Last edited by a moderator:
Hallo,

Lightslayer said:
Kurze Frage on wlechen Verzeichnisse liegen die Homepages?
Click to expand...
*grunz* Meist /home/htdocs oder /srv/www.

Der angreifende Server steht bei Hetzner. Dort anrufen, aber vorher das Log verfügbar machen, das will Hetzner wohl auch sehen.

Vermutung: auf dem Server ist ein "Servervirus", der Admin hat um 12 Feierabend und sitzt ab 13 Uhr genauso verzweifelt davor wie Du. :mad:
 
Mist, hatte mein Posting schon fertig, Charli ;)

Rausfiltern der relevanten Einträge:
less /var/log/warn | grep "213.239.210.70" > abuse.txt
 
habe gerade keinen Space zum hochladen.
Könnt ihr mir eure E-Mail-Addy geben, dann sende
ich es euch zu, sind nur wenige KB.

Noch ne Frage, meine IP kann das nicht sein oder?
Bin bei T-Online und gehe über nen Router online!
 
Ich hoffe mal, dass Du iptables installiert hast, dann in der Konsole folgendes eingeben und wenn Du beruhigt schlafen kannst mal nachlesen, was iptables so kann.
Code: 
iptables -A INPUT -s 213.239.210.70 -p all -j DROP
 
marneus said:
Ich hoffe mal, dass Du iptables installiert hast, dann in der Konsole folgendes eingeben und wenn Du beruhigt schlafen kannst mal nachlesen, was iptables so kann.
Code: 
iptables -A INPUT -s 213.239.210.70 -p all -j DROP
Click to expand...

Kommt diese Meldung:

h765459:/# iptables -A INPUT -s 213.239.210.70 -p all -j DROP
iptables v1.3.1: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Firewall ist an und filtert auch!
 
You must log in or register to reply here.
Back
Top