V Server stürtzt jede 2 - 3 Tage ab

[Aero_k]

Hallo Leute,

hab jetzt schon ein wenig gegoogelt und hab mir gedacht ich frag euch einfach mal um Rat.
Ich hab seit 9 Tagen ein V Server (Business) von ispOne.de. Die ersten 4 Tage lief er wunderbar. Die letzten 5 Tage ist er insgesamt 4 mal abgestürtzt.

Auf dem Server laufen:
-Debian 4.0 + Confixx3.3
-2 Homepages
-1 TS Server
-1 Gameserver CSS

Für ein V server muss ich sagen läuft er ziemlich gut nur leider stürtzt er mir zu oft ab.
Was könnte ich tun bzw erstellt der Server irgendwelche Log's die was zum Ausfall sagen könnten?

Würd mich über Antworten freuen.
Danke schonmal

MfG Aero

Edit:
noch eine Frage. Im Ordner var/log/ befindet sich eine Datei names auth.log
Hier steht folgendes: (abgekürtzt.. folgen noch mehr solche Abfragen)

Aug 29 13:47:04 vserver1603 sshd[3220]: Invalid user guest from 123.231.21.13
Aug 29 13:47:06 vserver1603 sshd[3222]: Invalid user master from 123.231.21.13
Aug 29 13:47:19 vserver1603 sshd[3234]: Invalid user admin from 123.231.21.13
Aug 29 13:47:21 vserver1603 sshd[3236]: Invalid user admin from 123.231.21.13
Aug 29 13:47:23 vserver1603 sshd[3238]: Invalid user admin from 123.231.21.13
Aug 29 13:47:26 vserver1603 sshd[3240]: Invalid user admin from 123.231.21.13
Aug 29 13:47:32 vserver1603 sshd[3246]: Invalid user test from 123.231.21.13
Aug 29 13:47:34 vserver1603 sshd[3248]: Invalid user test from 123.231.21.13
Aug 29 13:47:37 vserver1603 sshd[3250]: Invalid user webmaster from 123.231.21.13
Aug 29 13:47:39 vserver1603 sshd[3252]: Invalid user username from 123.231.21.13
Aug 29 13:47:42 vserver1603 sshd[3254]: Invalid user user from 123.231.21.13
Aug 29 13:47:46 vserver1603 sshd[3261]: Invalid user admin from 123.231.21.13
Aug 29 13:47:48 vserver1603 sshd[3263]: Invalid user test from 123.231.21.13
Aug 29 13:47:57 vserver1603 sshd[3272]: Invalid user danny from 123.231.21.13
Aug 29 13:47:59 vserver1603 sshd[3274]: Invalid user alex from 123.231.21.13
Aug 29 13:48:01 vserver1603 sshd[3276]: Invalid user brett from 123.231.21.13

Immer die gleiche IP. Versucht da jemand den Server zu hacken?

 

[Armadillo]

Hi,

also da versucht definitiv jemand deinen vServer zu hacken! Dagegen kann ich dir entweder den SSHD-Filter oder Fail2Ban empfehlen, die überwachen die Login-Versuche auf dienen Server und je nach konfiguration wird dann z.B. nach 3 falschen Versuchen die IP für einen bestimmten Zeitraum gesperrt und kann sich nciht mehr versuchen einzuloggen.
Durch die kurzen Zeitabstände bei den Versuchen könnte ich mir auch vorstellen, dass das dein vServer nciht mehr gepackt hat wegen den vielen Versuchen, hier wäre also eine der beiden oben angesprochenen Lösungen ratsam.

 

[Aero_k]

Danke Armadillo deine Antwort hilft mir schonma sehr. Ich werd jetzt gleich ma nach deinen 2 Lösungen googlen und die umgehen drauf machen. Falls wieder was ist meld ich mich hier nochmal

Danke
MfG Aero

 

[CentY]

Hi,

was steht denn zum Zeitpunkt eines Absturzes in der /var/log/messages oder /var/log/syslog? Eventuell irgendwas mit Cannot allocate memory? Wenn es sich um einen Vserver mit Virtuozzo handelt gib uns mal einen Auszug aus der /proc/user_beancounters ob es hier zu auffälligkeiten kommt.


Grüße

 

[_Padi]

Zusätzlich würde ich den SSH Port verlegen!

Grüße

 

[Armadillo]

Das is zwar auch ne Möglichkeit, aber ich würde trotzdem auf jeden Fall einen der beiden Filter empfehlen, weil nen anderer SSH-Port durch Tools wie nmap auch schnell gefunden ist.

 

[Aero_k]

Danke erst mal für eure ganzen Antworten
Ich hab leider im mom ein anderes Problem. Habe das genannte Fail2Ban installiert und wollte den Server per Webinterface neu starten.
Leider fährt er jetzt nicht mehr hoch.
Ich denke nicht das es an dem Programm liegt weil ich 2 Tage vorher das selbe Problem hatte.
Ich habe dem Support geschrieben dass sie versuchen sollen den Server manuell zu starten hoffentlich geht das schnell
Ich meld mich nochmal sobald der Server wieder läuft.

MfG Aero

 

[CentY]

Nur weil du unter Linux was installierst startet man btw nicht neu ... Vielleicht solltest du dich erstmal in Linuxgrundkenntnisse einlesen bevor du dir einen Server ins Internet stellst ...

Ansonsten aber viel Spaß beim einlesen in die Materie

Grüße

 

[Aero_k]

Hi CentY
Ich hab ihn ja eigt nicht wegen der Installation allein neugestarten. Ich wollte einfach mal das alles was nicht in dem Autostart vom Vserver ist aus haben.
Deswegen müsste er doch ohne Probleme eigt wieder hochfahren oder?

und wegen dem:
"was steht denn zum Zeitpunkt eines Absturzes in der /var/log/messages oder /var/log/syslog? Eventuell irgendwas mit Cannot allocate memory? Wenn es sich um einen Vserver mit Virtuozzo handelt gib uns mal einen Auszug aus der /proc/user_beancounters ob es hier zu auffälligkeiten kommt."

Werd ich reinposten sobald der Server wieder läuft.

Dank euch

 

[Aero_k]

Hey Leute
Server läuft nun wieder..

zu der Datei /var/log/syslog? :

Aug 29 07:54:13 vserver1603 kernel: testing hmac_md5
Aug 29 07:54:13 vserver1603 kernel: test 1:
Aug 29 07:54:13 vserver1603 kernel: 9294727a3638bb1c13f48ef8158bfc9d
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 2:
Aug 29 07:54:13 vserver1603 kernel: 750c783e6ab0b503eaa86e310a5db738
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 3:
Aug 29 07:54:13 vserver1603 kernel: 56be34521d144c88dbb8c733f0e8b3f6
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 4:
Aug 29 07:54:13 vserver1603 kernel: 697eaf0aca3a3aea3a75164746ffaa79
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 5:
Aug 29 07:54:13 vserver1603 kernel: 56461ef2342edc00f9bab995690efd4c
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 6:
Aug 29 07:54:13 vserver1603 kernel: 6b1ab7fe4bd7bf8f0b62e6ce61b9d0cd
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: test 7:
Aug 29 07:54:13 vserver1603 kernel: 6f630fad67cda0ee1fb1f562db3aa53e
Aug 29 07:54:13 vserver1603 kernel: pass
Aug 29 07:54:13 vserver1603 kernel: 
Aug 29 07:54:13 vserver1603 kernel: testing hmac_md5 across pages
Aug 29 07:54:13 vserver1603 kernel: test 1:
Aug 29 07:54:13 vserver1603 kernel: 750c783e6ab0b503eaa86e310a5db738

(geht ewig so weiter...)

Das dürfe ca. an dem Zeitpunkt gewesen sein als der Server abgeschmiert ist.

Eine Frage.. wird fail2ban automatisch beim hochfahren mitgestartet? find den Prozess unter "ps ax" nicht..
----
Edit:
fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: ssh
d.h.?



MfG
Aero

 

[_Padi]

Das is zwar auch ne Möglichkeit, aber ich würde trotzdem auf jeden Fall einen der beiden Filter empfehlen, weil nen anderer SSH-Port durch Tools wie nmap auch schnell gefunden ist.

Es kommt immer drauf an, ob das Massen Bruce force ist oder aber gezieltes angreifen eines einzelnen Servers. Klar bekommt man anhand von Port Scannern auch den anderen Port heraus, aber in den meisten Fällen hilft das bereits gegenüber 95 % aller Angreifer! Die Mischung machts eben!

Grüße

 

[Aero_k]

Hey
hab jetzt den Server komplett neuinstallieren lassen per Webinterface (vorher Backup ) und hab jetzt die Anmeldung nur mit RSA-Key zulassen eingestellt + SSH Port verlegt.
Meint ihr das reicht oder soll ich noch irgendwelche filter etc installieren?
Danke nochma

Aero
p.s. bestes Forum<3 =)

 

[Armadillo]

Es kommt immer drauf an, ob das Massen Bruce force ist oder aber gezieltes angreifen eines einzelnen Servers. Klar bekommt man anhand von Port Scannern auch den anderen Port heraus, aber in den meisten Fällen hilft das bereits gegenüber 95 % aller Angreifer! Die Mischung machts eben!

Ja die Mischung machts, aber wenn ich für die SSH-Accounts sichere Passwörter habe, dann ist es per Bruteforce völlig unmöglich einen Treffer zu landen. Von daher muss ich den Port auch nicht verlegen, sondern nur einen Filter installieren, der die Bruteforcer aussperrt, damit der sshd bei top nicht immer ganz oben steht.
Wenn jemand dann doch wirklich speziell auf den Server einbrechen will, dann benutzt er wie gesagt Portscanner und sucht sich den SSH-Port raus.

@Aero_k: Ja ich würde unbedingt noch einen Filter installieren, weil es auch Bruteforcing-Bots gbt, die vorher nen Portscan machen und sich den richtigen Port raussuchen.

 

[Aero_k]

Hey Leute,

heute ist der server wieder abgeschmiert..
kann des sein dass der ts, perlmod und gs den vserver (+ debian & confixx) zum absturzt bringen?
Hab keine Ahnung was ich noch machen könnte..

Dank euch

MfG Aero

 

[CentY]

Schau dir noch einmal alle Logdateien durch oder ob sonst etwas Aufschluss darüber gibt dass das Ding zu wenig Speicher hat, was für einen Gameserver betreibst du darauf? Ein Gameserver ist normalerweise auf einem VServer immer falsch aufgehoben wegen den beschränkten Ressourcen und kann oft zu Speichermangel führen. Kannst du den Server während eines Ausfalles noch pingen? Sind also nur Ressourcen lastigere Dienste betroffen?

Grüße

 

[Aero_k]

Hi CentY,
heute früh hat er leider wieder den Geist aufgegeben...
Ich hatte diesmal den Gameserver aus und er ist trotzdem abgeschmiert..

Auth.log:

Sep  1 01:58:02 vserver1603 CRON[4101]: (pam_unix) session closed for user root
Sep  1 01:59:01 vserver1603 CRON[4104]: (pam_unix) session opened for user root by (uid=0)
Sep  1 01:59:02 vserver1603 CRON[4104]: (pam_unix) session closed for user root
Sep  1 02:00:01 vserver1603 CRON[4108]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:00:02 vserver1603 CRON[4108]: (pam_unix) session closed for user root

Sep  1 02:01:01 vserver1603 CRON[4111]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:01:03 vserver1603 CRON[4111]: (pam_unix) session closed for user root
Sep  1 02:02:01 vserver1603 CRON[4152]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:02:02 vserver1603 CRON[4152]: (pam_unix) session closed for user root
Sep  1 02:03:01 vserver1603 CRON[4155]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:03:01 vserver1603 CRON[4155]: (pam_unix) session closed for user root
Sep  1 02:04:01 vserver1603 CRON[4158]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:04:01 vserver1603 CRON[4158]: (pam_unix) session closed for user root
Sep  1 02:05:01 vserver1603 CRON[4162]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:05:02 vserver1603 CRON[4162]: (pam_unix) session closed for user root
Sep  1 02:06:01 vserver1603 CRON[4165]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:06:02 vserver1603 CRON[4165]: (pam_unix) session closed for user root
Sep  1 02:07:01 vserver1603 CRON[4169]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:07:02 vserver1603 CRON[4169]: (pam_unix) session closed for user root
Sep  1 02:08:01 vserver1603 CRON[4172]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:08:02 vserver1603 CRON[4172]: (pam_unix) session closed for user root
Sep  1 02:09:01 vserver1603 CRON[4176]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:09:01 vserver1603 CRON[4178]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:09:01 vserver1603 CRON[4180]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:09:02 vserver1603 CRON[4176]: (pam_unix) session closed for user root
Sep  1 02:09:02 vserver1603 CRON[4180]: (pam_unix) session closed for user root
Sep  1 02:09:02 vserver1603 CRON[4178]: (pam_unix) session closed for user root
Sep  1 02:10:01 vserver1603 CRON[4196]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:10:02 vserver1603 CRON[4196]: (pam_unix) session closed for user root
Sep  1 02:11:01 vserver1603 CRON[4200]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:11:02 vserver1603 CRON[4200]: (pam_unix) session closed for user root
Sep  1 02:12:01 vserver1603 CRON[4203]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:12:02 vserver1603 CRON[4203]: (pam_unix) session closed for user root
Sep  1 02:13:01 vserver1603 CRON[4207]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:13:02 vserver1603 CRON[4207]: (pam_unix) session closed for user root
Sep  1 02:14:01 vserver1603 CRON[4210]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:14:02 vserver1603 CRON[4210]: (pam_unix) session closed for user root
Sep  1 02:15:01 vserver1603 CRON[4214]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:15:02 vserver1603 CRON[4214]: (pam_unix) session closed for user root
Sep  1 02:16:01 vserver1603 CRON[4217]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:16:02 vserver1603 CRON[4217]: (pam_unix) session closed for user root
Sep  1 02:17:01 vserver1603 CRON[4221]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:17:02 vserver1603 CRON[4221]: (pam_unix) session closed for user root
Sep  1 02:18:01 vserver1603 CRON[4224]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:18:02 vserver1603 CRON[4224]: (pam_unix) session closed for user root
Sep  1 02:19:01 vserver1603 CRON[4228]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:19:02 vserver1603 CRON[4228]: (pam_unix) session closed for user root
Sep  1 02:20:01 vserver1603 CRON[4231]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:20:03 vserver1603 CRON[4231]: (pam_unix) session closed for user root
Sep  1 02:21:01 vserver1603 CRON[4235]: (pam_unix) session opened for user root by (uid=0)
Sep  1 02:21:01 vserver1603 CRON[4237]: (pam_unix) session opened for user root by (uid=0)

... geht ewig so weiter zu der zeit war ich sicherlich nicht am PC.

Wie gesagt ssh port ist verlegt und nur mit RSA Schlüssel einloggbar.

Kannst du mir sagen was das ist?

Sep  1 11:34:48 vserver1603 kernel: 6b77b4d63006dee605b156e27403979358deb9e7154616d959f1652bd5ff92cc
Sep  1 11:34:48 vserver1603 kernel: pass
Sep  1 11:34:48 vserver1603 kernel: 
Sep  1 11:34:48 vserver1603 kernel: testing blowfish CBC encryption across pages (chunking)
Sep  1 11:34:48 vserver1603 kernel: 
Sep  1 11:34:48 vserver1603 kernel: testing blowfish CBC decryption
Sep  1 11:34:48 vserver1603 kernel: test 1 (128 bit key):
Sep  1 11:34:48 vserver1603 kernel: 37363534333231204e6f77206973207468652074696d6520666f722000000000
Sep  1 11:34:48 vserver1603 kernel: pass
Sep  1 11:34:48 vserver1603 kernel: 
Sep  1 11:34:48 vserver1603 kernel: testing blowfish CBC decryption across pages (chunking)
Sep  1 11:34:48 vserver1603 kernel: 
Sep  1 11:34:48 vserver1603 kernel: testing twofish ECB encryption
Sep  1 11:34:48 vserver1603 kernel: test 1 (128 bit key):
Sep  1 11:34:48 vserver1603 kernel: 9f589f5cf6122c32b6bfec2f2ae8c35a
Sep  1 11:34:48 vserver1603 kernel: pass
Sep  1 11:34:48 vserver1603 kernel: test 2 (192 bit key):
Sep  1 11:34:48 vserver1603 kernel: cfd1d2e5a9be9cdf501f13b892bd2248
Sep  1 11:34:48 vserver1603 kernel: pass
Sep  1 11:34:48 vserver1603 kernel: test 3 (256 bit key):
Sep  1 11:34:48 vserver1603 kernel: 37527be0052334b89f0cfccae87cfa20
Sep  1 11:34:48 vserver1603 kernel: pass

ssh "free":
total used free shared buffers cached
Mem: 524500 105596 418904 0 9412 45124
-/+ buffers/cache: 51060 473440
Swap: 262136 0 262136

grad noch gefunden: syslog
1.

Aug 31 18:05:10 vserver1603 syslogd 1.4.1#18: restart.
Aug 31 18:06:01 vserver1603 /USR/SBIN/CRON[2184]: (root) CMD ( /root/confixx/confixx_counterscript.pl)
Aug 31 18:07:01 vserver1603 /USR/SBIN/CRON[2188]: (root) CMD ( /root/confixx/confixx_counterscript.pl)
Aug 31 18:08:01 vserver1603 /USR/SBIN/CRON[2191]: (root) CMD ( /root/confixx/confixx_counterscript.pl)

2.

Sep  1 11:15:40 vserver1603 syslogd 1.4.1#18: restart.
Sep  1 11:15:42 vserver1603 kernel: klogd 1.4.1#18, log source = /proc/kmsg started.
Sep  1 11:15:42 vserver1603 kernel: unications, v5.3.20, [email]coda@cs.cmu.edu[/email]
Sep  1 11:15:42 vserver1603 kernel: Installing knfsd (copyright (C) 1996 [email]okir@monad.swb.de[/email]).
Sep  1 11:15:42 vserver1603 kernel: seclvl: seclvl_init: seclvl: Failure registering with the kernel.
Sep  1 11:15:42 vserver1603 kernel: seclvl: seclvl_init: seclvl: Failure registering with primary security module.
Sep  1 11:15:42 vserver1603 kernel: seclvl: Error during initialization: rc = [-22]
Sep  1 11:15:42 vserver1603 kernel: Initializing Cryptographic API

MfG Aero

 

[marneus]

Bitte bei Consolen/Log/Script-Code Auszügen die vBulletin Code-Tags verwenden (zu finden, wenn Du auf das Rauten (#) Symbol klickst im Editor.

Ich bitte Dich, Dein Posting rückwirkend zu ändern.

--marneus

 

[Aero_k]

Bitte bei Consolen/Log/Script-Code Auszügen die vBulletin Code-Tags verwenden (zu finden, wenn Du auf das Rauten (#) Symbol klickst im Editor.

Ich bitte Dich, Dein Posting rückwirkend zu ändern.

--marneus

schon passiert
sry

Aero

 

[CentY]

Hm also da ist so weit nichts auffälliges bis auf die Kernelmeldungen solche habe ich noch nie gesehen keine Ahnung woher die kommen bzw. was deine Maschine da tut.

Das mit den Sessions für root ist nur mal und erkennbar an CRON dass dies einfach nur Cronjobs sind die als Root gestartet wurden wahrscheinlich das Counterscript von Confixx usw..

Grüße

 

[Deleted member 4401]

Ein Cronjob der 1x in der Minute ausgeführt wird ist meiner Meinung nach doch eher ungewöhnlich, bezweifle stark dass der im Zusammenhang mit Confixx steht.
Geb doch mal ein paar Infos wie den Output von ps aux und kläre mal ab was das für ein Cronjob ist...falls irgendein Resourcenfresser 1x in der Minute ausgeführt wird wären dauernde Abstürze kein Wunder.

Ausserdem bezweifle ich doch stark dass ein vServer mit 512 MB RAM als Game-Server geeignet ist (und falls Confixx auch noch mit clamav und spamassassin gebundelt ist: gute Nacht Resourcen!). Bin jetzt zwar kein Experte in dieser Richtung, aber als ich mal aus Spass an der Freude einen ET-Server auf einem 512 MB vServer eingerichtet hatte (Serverumzug, der Vertrag für diesen Server lief ein paar Tage später eh ab) war das System schon mit nur 2 Bots + mir als Spieler komplett ausgelastet und extrem laggy, und alle anderen Services (ausser SSH) waren sogar abgeschaltet.