Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

1

27.01.2013, 23:57

Webserver nicht erreichbar

Guten Tag,

Mein Webserver (apache2) ist seit einigen Tagen nicht mehr Erreichbar. Ich verwende einen Ubuntu 12.04 Server und habe dort Froxlor installiert.

Der vServer lief ca. 2Monate und dann nicht mehr... . Meine Domain ist http://bakareader.org/. Auf den Server habe ich via SSH/SFTP noch Zugriff. Über den Webbrowser und FTP nicht mehr.
Ein paar Tage bevor er diesen Ausfall hatte, gab es auch ein paar Probleme. Die Webseite wurde nur sehr langsam aufgebaut und der Zugriff über SSH war ebenfalls sehr sehr langsam. Ich hatte an eine DDOS-Attacke gedacht und Fail2ban installiert. Ebenfalls habe ich den Cloudflare Dienst genutzt und abgeschaltet. So ca 2/3 Tage danach war der Webserver gar nicht mehr Erreichbar. Mein vServer Anbieter sagt, dass es nicht an ihm liegt und ich bin etwas ratlos.

/var/log/apache2/error.log

Zitat

PHP Deprecated: Directive 'safe_mode' is deprecated in PHP 5.3 and greater in Unknown on line 0

Zitat

[Mon Jan 28 02:12:49 2013] [notice] Graceful restart requested, doing restart

Zitat

[Mon Jan 28 02:12:55 2013] [notice] Apache/2.2.22 (Ubuntu) mod_fcgid/2.3.6 PHP/5.3.10-1ubuntu3.5 with Suhosin-Patch configured -- resuming normal operations

Zitat

[Mon Jan 28 02:13:18 2013] [notice] caught SIGTERM, shutting down

Zitat

[Mon Jan 28 02:13:19 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)

Zitat

[Mon Jan 28 02:13:19 2013] [notice] Apache/2.2.22 (Ubuntu) mod_fcgid/2.3.6 PHP/5.3.10-1ubuntu3.5 with Suhosin-Patch configured -- resuming normal operations

Zitat

[Mon Jan 28 02:14:56 2013] [notice] caught SIGTERM, shutting down

Zitat

[Mon Jan 28 02:15:45 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)

Zitat

[Mon Jan 28 02:15:45 2013] [notice] Apache/2.2.22 (Ubuntu) mod_fcgid/2.3.6 PHP/5.3.10-1ubuntu3.5 with Suhosin-Patch configured -- resuming normal operations

Zitat

[Mon Jan 28 02:16:50 2013] [notice] caught SIGTERM, shutting down

Zitat

[Mon Jan 28 02:16:52 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)

Zitat

[Mon Jan 28 02:16:52 2013] [notice] Apache/2.2.22 (Ubuntu) mod_fcgid/2.3.6 PHP/5.3.10-1ubuntu3.5 with Suhosin-Patch configured -- resuming normal operations

Wären Daten aus einer andere Log Datei noch interessant?

Eine weitere Frage hätte ich noch.
Und zwar wird auch mit Datenbanken gearbeitet und diese würde ich gerne sichern. Doch wo liegen diese?

Ich hoffe man kann mir hier weiterhelfen!

mfg Itachidhdr!

2

28.01.2013, 00:39

Da sieht man 4 Neustarts in vier Minuten. Hast du die selbst ausgelöst oder passiert das von allein? Dann wär's kein Wunder wenn er nicht erreichbar ist.
Wären Daten aus einer andere Log Datei noch interessant?
Bestimmt, wenn man einmal eine Idee hat was passiert sein könnte. Erst einmal die Ausgabe von "last" vielleicht.
Und zwar wird auch mit Datenbanken gearbeitet und diese würde ich gerne sichern. Doch wo liegen diese?
MySQL wahrscheinlich, oder?
Die Dateien liegen normalerweise unter /var/lib/mysql/. Eine wiederverwendbare Sicherung macht man aber besser mit MySQL selbst. Siehe dazu
mir is wurscht

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

3

28.01.2013, 01:22

Habe den Server mehrmals Neugestartet. Denke es kommt daher.

Hm in der lastlog datei finde ich nur komische zeichen :/.

ãÂ^EQpts/2^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@p3ee26f




Ok vielen Dank schon mal die Datenbanken sind gesichert ^^.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Itachidhdr« (28.01.2013, 01:45)


4

28.01.2013, 13:02

in der lastlog datei finde ich nur komische zeichen
Ist klar. Gemeint war ja auch:
die Ausgabe von "last"
Also des Kommandos.
mir is wurscht

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

5

28.01.2013, 13:07

Ok! Sry noch nicht ganz so bewandert in der Linux Welt!





Also diese Ausgabe war gemeint?

mfg Itachidhdr

DocHifi

unregistriert

6

28.01.2013, 13:17

Hi,
Fotos sind immer ungünstig zu lesen.
Tip:
Wenn du

Quellcode

1
last > last.txt
schreibst, gibt es eine schöne Textdatei in /home, die kann man hier dann anhängen.
Gruß DH

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

7

28.01.2013, 13:21

Ok, danke für den Tipp!

EDIT: hab die Datei mal etwas formatiert
»Itachidhdr« hat folgende Datei angehängt:
  • last.txt (20,74 kB - 8 mal heruntergeladen - zuletzt: 14.02.2013, 19:55)

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Itachidhdr« (28.01.2013, 18:10)


DocHifi

unregistriert

8

28.01.2013, 13:37

Ok, danke für den Tipp!


Gerne doch. :)

9

29.01.2013, 00:36

Ok, dann kannst du erstmal vergleichen, ob die Logins plausibel sind und ob zu den Zeiten in denen dein Server anfing zu streiken etwas besonderes vorkam. Vor allem ob die root-Logins zu deinen eigenen Aktivitäten passen. Zusätzlich kannst du noch in /var/log/auth.log nachsehen, ob zu der Zeit verdächtige Aktionen waren. Das um einmal einen Angriff aufzuspüren oder auszuschließen.

Außerdem sollte geklärt werden, ob die Neustarts oben von dir selbst waren oder ob der schon tagelang andauernd durchstartet.

Weiters wird es wohl noch andere Log-Dateien vom Apachen geben. Und auch die vom FTP-Server wären vielleicht interessant. Aber bitte nicht alles hier posten, sondern auch selbst reinschauen und im Zwefel die entsprechenden Ausschnitte posten. Du weißt ja, um welchen Zeitraum es geht.
mir is wurscht

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

10

29.01.2013, 09:13

Ok, also ich habe mal ein paar log datein durchgesehen.

Ein paar tage bevore der Server den Geist aufgegeben habe finde ich wiederholt folgenden eintrag in der log datei

Zitat

Invalid user melborne from 211.172.247.77
Jan 20 17:21:58 bakareader sshd[7968]: input_userauth_request: invalid user melborne [preauth]
Jan 20 17:21:58 bakareader sshd[7968]: pam_unix(sshd:auth): check pass; user unknown
Jan 20 17:21:58 bakareader sshd[7968]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.172.247.77
Jan 20 17:22:00 bakareader sshd[7968]: Failed password for invalid user melborne from 211.172.247.77 port 40520 ssh2
Jan 20 17:22:00 bakareader sshd[7968]: Received disconnect from 211.172.247.77: 11: Bye Bye [preauth]
Jan 20 17:22:01 bakareader sshd[7970]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key

sieht für mich wie ein brute-force aus? Ab dem Punk, wo nicht mehr solche eintrage, wie diese zufinden sind finde ich solche eintrage im Minutentackt:

Zitat

Jan 22 17:40:02 bakareader CRON[19599]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
Jan 22 17:40:02 bakareader CRON[19598]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
Jan 22 17:40:02 bakareader CRON[19599]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 17:40:02 bakareader CRON[19598]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 22 17:40:03 bakareader CRON[19598]: pam_unix(cron:session): session closed for user smmsp
Jan 22 17:40:04 bakareader CRON[19599]: pam_unix(cron:session): session closed for user root

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

11

29.01.2013, 09:35

Welche Authentifizierungsform verwendest du? PKI oder Passwort? Erlaubst du Root sich über SSH einzuloggen? Wie lang ist dein Passwort? Sieht für mich danach aus als wär deine Maschine kompromittiert wurden.

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

12

29.01.2013, 09:45

Ich verwende ein Passwort welches 8 Zeichen mit klein/groß buchstaben und zahlen beinhaltet. Ja root darf sich über ssh einloggen...

Letzteres würde ich gerne ändern habe einen neuen benutzer angelegt und kann mich auch über diesen im ssh anmelden. Wenn ich nun ein Befehl mit sudo ausführen möchte bekomme ich die Fehler Meldung

Zitat

sudo: must be setuid root

13

29.01.2013, 09:50

Login-Versuche am SSH sind eigentlich normal, wenn man einen öffentlichen Server hat. Könnte es sein, daß diese aufgehört haben, als du fail2ban installiert hast? Du kannst in /var/log/dpkg.log nachsehen, wann das genau war.

Cron-Einträge für root sind auch normal, wenn interne Dienste etwas zu erledigen haben. Ob du solche Dienste selbst aktiviert hast, die im Minutentakt laufen, musst du wissen. Du solltest aber die crontabs durchsehen.
/var/spool/cron/crontabs/*
/etc/crontab
/etc/cron.d/*
Eventuell /etc/cron.{daily,weekly,monthly}

Die folgenden Fragen musst du dir selbst beantworten:
Ist SSH-Login als root mit Passwort möglich? beantwortet
Könnte das root-Passwort erraten oder in einem Wörterbuch gefunden werden?

Vor allem sollte das Ding vom Netz genommen werden, bis das geklärt ist. Wenn du nur remote Zugriff hast, dann zumindest die Firewall ein- und ausgehend dicht machen, außer für SSH. Und solange dein root-Passwort noch funktioniert, ändere es! Anschließend solltest du root-Logins nur mit Pubkey ermöglichen.
mir is wurscht

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

14

29.01.2013, 10:19

Ich musste für Froxlor unter /etc/cron.d/eine Datei anlegen. Ebenfalls sind dort datein für php5 und sendmail.
Also denke daher kommen die Einträge. Das root Passwort ist nicht zu erraten und auch nicht in einem Wörterbuch zu finden und habe es bereits geändert.

Habe den Anbieter des vServers mal angeschrieben und gefragt, ob er diesen abschotten kann. Werde dann die Anmeldung für Pubkey einstellen!

Jedoch bleibt die Frage, ob ich den Server noch retten kann bzw. wie? Muss er neuaufgesetzt werden?

.not

User

Beiträge: 762

Registrierungsdatum: 28.07.2011

Derivat: Kein Ubuntu-Derivat

Version: gar kein Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

  • Nachricht senden

15

29.01.2013, 11:28

Ich würde ihn auf jeden Fall neu aufsetzen - eine Kompromittierung ist nicht auszuschliessen und um das System händisch wieder sauber zu bekommen fehlen dir glaube ich ausreichende Kenntnisse. (Keinesfalls böse gemeint. :))

Zitat

Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

16

29.01.2013, 12:05

Ok, könnte es vielleicht auch an fail2ban liegen, dass dieser vielleicht den http verkehr stört? Wie deinstalliere ich fail2ban sauber? Habe fail2ban mit purge nun deinstalliert.

Ebenfalls habe ich festgestellt, dass ich die Seite manchmal erreiche. Wenn man verzweifelt davor sitzt und ein paar mal f5 drückt, wird zumindest bei mir, die Seite ab und zu aufgebaut.

Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »Itachidhdr« (29.01.2013, 14:08)


17

29.01.2013, 14:55

denke daher kommen die Einträge
Ist nicht negativ gemeint, aber denken reichen nicht. Du musst es überprüfen. Ein öffentlich erreichbarer Server bedingt auch Verantwortung und erfordert entsprechende Aufmerksamkeit und Know-How. Wenn du eines davon aus welchen Gründen auch immer nicht investieren kannst oder willst, wäre es besser komplett neu zu installieren. Bis zum nächsten Vorfall, den du hoffentlich rechtzeitig bemerkst. Sowas kann auch ins Auge gehen.

Habe den Anbieter des vServers mal angeschrieben und gefragt, ob er diesen abschotten kann. Werde dann die Anmeldung für Pubkey einstellen!
Bin nicht sicher, wie der Anbieter das machen wird. Vor allem so, daß du selbst noch was tun kannst. Aber Pubkey-Auth ist eigentlich Pflicht an einem öffentlich erreichbaren SSH-Server und sollte eher gestern als heute erledigt werden. Egal ob mit root-Zugang oder per minder privilegiertem User. Das sind ganze drei Kommandos...

könnte es vielleicht auch an fail2ban liegen, dass dieser vielleicht den http verkehr stört
Wenn er richtig konfiguriert ist, nicht. Selbst, wenn jemand Login-Errors am laufenden Band verursacht, müsstest du selbst einwandfrei reinkommen. Es sei denn, du produzierst die Fehler selbst. :evil:
Ich bekomme das Gefühl, daß dir die Funktionen der eingesetzten Programme nicht wirklich vollkommen bewusst sind. Das solltest du ändern.

Ebenfalls habe ich festgestellt, dass ich die Seite manchmal erreiche.
Was uns wieder zu der Frage bringt, ob der dauernd neustartet. Prüfe das bitte und schau in die Access-Logs.
mir is wurscht

  • »Itachidhdr« ist der Autor dieses Themas

Beiträge: 18

Registrierungsdatum: 27.01.2013

Derivat: Ubuntu

Architektur: 32-Bit PC

Desktop: GNOME 2.x

  • Nachricht senden

18

29.01.2013, 20:56

Ok pubKey ist eingestellt! Also die Neustarts werden von mir produziert.

Ok dann werde ich mich mal damit beschäftigen, wo die cron Einträge her kommen!

Ok also an diesem Ausschnitt, aus er Syslog Datei wird auf das froxlor_master_cronjob.php script zugegriffen / ausgeführt.

Allerdings ist dort auch immer wieder ein Postfix eintrag. Wird mein System mit mails zugespammt, bzw verschickt mein system mails? Oder was haben die Einträge zu bedeuten?


So werde den Server heute neu aufsetzen!

Werde direkt wieder ssh über pubKey einstellen und mich an diesem Tutorial orientieren.

Noch ein paar Tipps für die Neuinstallation? ^^

mfg Itachidhdr


Guten Tag,

das Thread ist zwar schon etwas älter aber habe immer noch Probleme mit dem Server :/. Hatte ihn neu aufgesetzt und er hat sogar eine neue IP-Adresse bekommen. Nun wird die Seite wieder angegriffen. Mein Verdacht ist, dass es sich um einen DDOS handelt. Habe gelesen mit dem Befehl

Zitat

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
kann man dies überprüfen. Wenn ich den Befehl ausführe bekomme ich eine große Liste mit vielen IP´s, wo überall eine 1 vorne steht. Soweit ich das Verstanden habe für die Anzahl der Verbindungen. Ganz unten hatte ich eine IP mit 50 Verbindungen welche ich mithilfe von iptables gesperrt habe.

Handelt es sich dabei um ein DDOS Angriff und was kann ich dagegen tun?

mfg Itachidhdr

Dieser Beitrag wurde bereits 6 mal editiert, zuletzt von »Itachidhdr« (27.02.2013, 00:48)