Server4you Recovery System

[Peter Schwering]

Hallo,

Gestern hab ich von dem Support erfahren das einer mein Server gehackt hat und von meinem Server aus Dos Attacken gesendet hat.

Also ich war wirklich geschockt. Jetzt haben sie den Server ganz ausgeschaltet und von mir 39€ abgebucht. Naja, ist also so, wenn mein Server gehackt wird muss ich auch dafür bezahlen. Ja ist ja eigentlich auch egal. Ich bin nur von dem Support bisschen enttäuscht. Gestern schrieb ich dem Support eine Email die ich auch schnell beantwortet bekam.

Doch in der email haben die mir gesagt das das Recovery System bei mir jetzt verfügbar ist. .Hmm überall in den email nachgeguckt aberkeinerlei zugangsdaten für das Recovery System. Auch der Server ist immernoch seit Gestern down. Also den Support hab ich auch schon angerufen und ca. 3minuten am hörer gewartet und keiner nimmte den hörer ab.
Kostet mich also um die 5€ ein anruf
Vor 3 Stunden habe ich dem Support nochmal eine Email geschickt wann das Recovery System aktiviert wird, aber keine Antwort darauf gekriegt

Was würdet ih mir empfehlen was kann ich machen wie kann ich vorgehen, meine Kunden sind kurz davor mich anzuklagen

Vielen DAnk

 

[Jobra]

Ich kenn mich damit nicht wirklich aus aber vielleicht kann ich trotzdem helfen:
Für ein Recovery System brauchst du normalerweise keine extra Zugangsdaten, sondern lediglich deine Zugangsdaten zum Kundeninterface. Dort kannst du unter einem Menüpunkt das Recovery System aktivieren. Der Server wird dann heruntergefahren und das Recovery System wird gestartet. Dann solltest du per Email das Root-Passwort für das Recovery-System bekommen und kannst dich dort einloggen. So kenne ich das zumindest.

Hoffe ich konnte mit meinem N00b-Wissen trotzdem weiterhelfen

 

[Thorsten]

Hallo!
Das ein Anbieter einen gehackten Server mit ausgehenden DOS Attacken vom Netz trennt ist die normale Praxis. Das ist meines Erachtens auch gut so. Ob für diesen Vorgang Gebühren anfallen, sollte über die entsprechenden ABG geregelt sein.
Welchen Zustand hat dein Server jetzt? Ist er noch erreichbar? Falls nicht, wird es etwas schwierig die Ursache zu bekämpfen. Zum Thema Server4You und Rescue-System kannst etwas unter https://serversupportforum.de/threads/s4u-rescue-konsole.2736/ nachlesen.

mfG
Thorsten

 

[Peter Schwering]

Bin wirklich entäuscht von S4Y, wobei ich sonst keine Probleme hatte. Wenn ich im Kundeninterface von S4Y auf Recovery System klicke steht dort "Das Recoverysystem für Ihren SERVER4FREE wird derzeit vorbereitet. Sobald der Vorgang abgeschlossen ist, erhalten Sie eine Mitteilung an" Also nach an steht da auch nicht meine email, das hat mich vorerst auch verwirrt.

Fargen:
1.Ist der Server im Recovery Modus von der gleichen IP zu erreichen?
2.Kann man im Recovery Modus auch in die Mysql Datenbank zugreifen? (Ich muss ja schließlich auch die Datenbanken retten)

Vielen Dank Thorsten und Jora

 

[mx0]

Da sieht man mal wieder was passiert wenn die leute sich nen Server mit linux holen und keine ahnung haben

 

[Peter Schwering]

Wenn ich das wüsste würde ich hier auch das Theard nicht starten. Aber immerhin danke für dein Kommentar

Das auch ist das erste mal, dass ich den Server über das Recovery Modus starten lasse. Ansonsten hatte ich keine Probleme mit Server4you

Server4you ist für mich aber immernoch das Beste.

 

[Huschi]

Sobald der Vorgang abgeschlossen ist, erhalten Sie eine Mitteilung an" Also nach an steht da auch nicht meine email, das hat mich vorerst auch verwirrt.

Das ist schlecht! Dort sollte Deine (und nur eine, nicht auf dem Server gehostete Email) und keine andere stehen.
Sonst solltest Du als erstes mal dafür sorgen (per Fax), daß diese Email korrigiert wird.

1.Ist der Server im Recovery Modus von der gleichen IP zu erreichen?

Ja.

2.Kann man im Recovery Modus auch in die Mysql Datenbank zugreifen?

Ja. Zwar etwas kniffliger für einen Anfänger innerhalb der Recovery, aber machbar:
1. Existiert /mnt? Wenn nicht mit 'mkdir /mnt' anlegen.
2. Dann 'mount /dev/hda3 /mnt' und 'chroot /mnt'.
3. Nun sollte ein '/etc/init.d/mysql start' gehen und mit mysqldump sollte dann ein Datenbank-Backup machbar sein.
Bedenke bei den Commandos, daß Du teilweise den vollständigen Pfad angeben mußt, da Du keine normale Login-Umgebung hast.

Ansonsten (bevor Du den Server wieder normal hochfährst:
a) Prüfe mit rkhunter ob Du einen Parasiten an Board hast.
Sollte der was finden empfiehlt sich eine Neuinstallation.
b) Checke alle phptmp-Verzeichnisse und /tmp nach evtl. auffälligen Dateien.
Sollte irgendwo etwas sein, dann schalte den verursachten Web-User auf jedenfall ab. Neuinstallation ist evtl. vermeidbar.

huschi.

 

[Peter Schwering]

Es hat geklappt alles hab ich gerettet.
Der Support hier ist wirklich 1a

Vielen vielen dank

 

[MikeRivle]

Hallo Com

der tread ist zwar etwas älter aber da ich das selbe problem habe bzw nicht weiter komme und keinen neuen erstellen möchte schreib ich doch hier gleich mal rein

wie oben beschrieben von Peter ... Habe ich das selbe Problem nur das bei mir eine Phising Site drauf war/ist und ich mich nun auch im Rescue-System befinde und dort meine HP und mysql Datenbanken sichern möchte.

Bei S4Y kann ich leider nicht anrufen ( hätte ich gemacht ) aber da bei mir 190 etc geseperrt sind kann ich dies leider nicht machen.
also zu meinem Problem ich ja bin ein linux anfänger ( ich weiss wenn man es nicht kann sollte man die finger davon lassen, aber man lernt daraus )
ich solle dies machen was mir im Support Ticket beschrieben wurde machen

1. Übersicht über die Partitionen erhalten mit folgenden Befehl: fdisk -l
2. Wenn Sie nur 3 Partitionen aufgelistet bekommen, schauen Sie in der Tabelle nach der größten. Am Anfang dieser Zeile wird das Gerät genannt, daß mit /dev/ anfängt.
3. Mounten der Partition, damit die Daten gelesen werden können:

mkdir /meine_daten
mount /dev/.... /meine_daten

Mit /dev/.... ist das Gerät gemeint, daß Sie unter 2. ermittelt haben.

4. Danach ist das Verzeichnis /meine_daten über SSH bzw. WinSCP verfügbar.

aber leider geht das ganze nicht so wie es da beschrieben wird
ich gebe in der shell 'mount /dev/sda3' ( name der 3ten hdd ) ein und bekomme folgenden fehler 'can't find /dev/sda3 in /etc/fstab or /etc/mtab'
weiter komme ich leider nicht habe schon alles versucht bzw gesucht aber nichts gefunden was mir hilft darum bitte ich darum wenn mir dabei jemand helfen könnte

mfg Mike

 

[Guin]

Moin,
'mount /dev/sda3' funktioniert so auch nicht. Du musst noch sagen, wohin der die Partion mounten soll.
Normalerweise mountet man die nach /mnt, wie Huschi schon geschrieben hat.

[...]
1. Existiert /mnt? Wenn nicht mit 'mkdir /mnt' anlegen.
2. Dann 'mount /dev/hda3 /mnt' und 'chroot /mnt'.
[...]

 

[MikeRivle]

auch schon versucht geht auch nicht sonst würd ich ja hier nicht schreiben

 

[Guin]

Dann rueck mal mit ein paar mehr Informationen raus.

Was genau hast du alles versucht?
Hast du ein Raid System?
Wie lautet die Ausgabe von 'fdisk -l'?

 

[MikeRivle]

bei fdisk -l kommt das

Device Boot Start End Blocks Id System
/dev/sda1 1 13 104391 83 Linux
/dev/sda2 14 79 530145 82 Linux swap / Solaris
/dev/sda3 80 19451 155605590 83 Linux

wenn ich das so mache wie hier im forum gehts nicht wenn ich es so mache wie bei der anleitung von S4Y geht das auch nicht

Raid glaub ich nicht ist so wie ich das weiss nur eine SATA

 

[Guin]

Und es werden keine Fehlermeldungen angezeigt?

'mount /dev/sda3 /mnt' funktioniert nicht?

 

[MikeRivle]

bekomme dann diese Meldung

root@xxxxxx:/# mount /dev/sda3 /mnt
mount: wrong fs type, bad option, bad superblock on /dev/sda3,
missing codepage or other error
In some cases useful info is found in syslog - try
dmesg | tail or so

( xxxxx ist der name )

 

[Guin]

mount -l , dann wird angezeigt, welchen Typ die Partionen haben.

Dann koennte es so aussehen:
'mount -w -t ext3 /dev/sda3 /mnt'


Immer die Fehlermeldungen mitposten.. das haette hier ein paar Postings erspart

 

[Huschi]

<MOD>
@MikeRivle:
Deine Beiträge sind etwas unleserlich.
Bitte beachte Punkt 3 der Boardregeln und vorallem die Interpunktion, damit man auch mal weiß, wo Deine Sätze aufhören.

Danke!
</MOD>

huschi.

 

[MikeRivle]

Jawohl Sir !

ich bin das gewohnt Klein zu schreiben aber egal jetzt

@ Guin ich habe nochmal an S4Y ein Ticket geschrieben und mir wurde folgendes gesagt:
1. mkdir /meine_daten
2. mount -t ext3 /dev/sda3 /meine_daten
Habe es nun geschaft bin drinn nur wie kann ich das MYSQL Backup machen ?
Das mit '/etc/init.d/mysql start' geht nicht bekomme dann diese Meldung
-bash: /etc/init.d/mysql: No such file or directory
wenn ich in '/etc/init.d/' gehe und 'mysql start' mache kommt diese ./mysql: line 30: /etc/rc.status: No such file or directory


ps: fals ich wieder mit etwas verstossen sollte sorry

 

[Guin]

Ganz kurz:

Deine Partion ist nun unter /meine_daten zu erreichen.
/meine_daten/etc/init.d/mysql

PS: der Support hat das Gleich wie ich geschrieben.