PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kein SSH-Login-Prompt mehr von fester IP



HolgerAusB
21.09.10, 22:42
Hallo,

seit einigen Wochen kann ich mich von mir Zuhause (feste IP) nicht mehr per SSH auf meinem vServer anmelden. Es erscheint erst gar kein Login-Prompt.

Ausgangslage:
Vor gut einem Jahr habe ich mir zur Installation einer Asterisk-Telefonanlage einen vServer mit Debian Lenny gemietet (feste IP, logisch).

Vor etwa drei Monaten stellte ich Brute-Force-Attacken auf den SSH-Zugang fest. Logins hatte ich ohnehin schon auf einen Benutzer mit starkem Passwort beschränkt, root@ssh ist verboten. Jetzt habe ich aber zusätzlich noch denyhosts installiert. Lief auch zunächst echt prima.

Mein Internetanschluss Zuhause hat ebenfalls eine feste IP-Adresse. Zunächst konnte ich mich auch nach Installation von denyhosts noch anmelden. Seit einigen Wochen kann ich mich nicht mehr von Zuhause aus auf dem vServer per SSH anmelden. Weder per Username/Passwort noch AuthKey. Die SIP-Verbindungen zum Asterisk sind nicht betroffen.

Es liegt IMHO definitiv an der festen IP. Folgendes habe ich probiert:

Putty (Windows) direkt an vServer > kein LoginPrompt
SSH (Lokaler Linux-Server) direkt an vServer > kein LoginPrompt
(beide mit der festen IP des heimischen Internetzugangs)

Putty über Socks-Proxy (JAP/JonDos) an vServer > funktioniert.
Android Smartphone per gsm (nicht wlan) an vServer > funktioniert
(diese beiden haben natürlich andere IP-Adressen)

In /etc/hosts.allow steht meine heimische IP-Adresse drin.
In /etc/hosts.deny wurde meine IP von denyhosts nicht eingetragen

denyhosts deinstalliert und hosts.deny gelöscht, Server reboot > immer noch kein Prompt. (denyhosts wieder installiert).

Während des Login Versuchs erfolgt keinerlei Ausgabe in auth.log oder Syslog, loglevel in sshd_config steht auf debug. Auch putty loggt nichts mit.

Ich hab' jetzt echt keine Ahnung wo ich da jetzt ansetzen soll. Auf iptables habe ich als "virtueller" Root keinen Zugriff. Das geht bei virtuellen Servern wohl nur auf dem HostSystem.

An meinem Router Zuhause habe ich auch nichts geändert. Da ist also kein Port gesperrt. Allerdings würde ich gerne zur Sicherheit noch einen anderen externen Server mit SSH anwählen. Vielleicht kann mir jemand testweise eine IP per PM nennen? Ohne Passwort natürlich. Ich will nur sehen, ob der LoginPrompt erscheint.

Hat jemand Ideen wie ich das Problem lösen kann, ohne den Server neu aufzusetzen?

Grüße
Holger

DrunkenFreak
21.09.10, 23:08
Geht nicht ist immer eine schlechte Fehlermeldung. ssh mit verbose starten und gucken, was passiert.

HolgerAusB
21.09.10, 23:13
Ich dachte eigentlich ich war ausführlich genug. SSH läuft mit debug, was noch mehr liefern sollte als verbose. Es wird nichts geloggt, wie geschrieben.

Wenn ich versuche mich von Zuhause einzuloggen erscheint kein LoginPrompt, das heiß ich kann nicht mal einen Usernamen eingeben. Die Konsole bleibt komplett schwarz, ohne irgendwelche Schriftzeichen. Putty bricht nach etwa 30 Sekunden ab mit einem "Connection Timed Out"

DrunkenFreak
21.09.10, 23:16
Dann lass Putty halt mehr ausgeben. Irgendjmd wird dir schon sagen wo es hängt. Ich denke weiterhin, dass es was mit einer Firewall zu tun hat. Mir ist noch kein vServer untergekommen, an dem iptables nicht gehen soll. Wäre auch irgendwie extrem doof.

derRichard
21.09.10, 23:24
Mir ist noch kein vServer untergekommen, an dem iptables nicht gehen soll. Wäre auch irgendwie extrem doof.

dann hast du aber noch wenig vserver gesehen.
bei vielen hat man keinen eigenen kernel und kann keine module laden.
sind die iptables-module nicht vom hoster geladen worden schaut man in die röhre...

//richard

HolgerAusB
21.09.10, 23:27
Wie ich schon schrieb, habe ich auch putty geloggt, da steht dann aber bei allen 5 Log-Optionen auch nicht mehr drin als: Failed to connect to 123.123.123.123: Network error: Connection timed out

Das mit der Firewall (im D-Link Router) habe ich auch noch nicht völlig ausgeschlossen. Eben deshalb würde ich zu Testzwecken die Adressen eines anderen Servers mit SSH benötigen, ohne Passwort natürlich.

honkstar
22.09.10, 09:19
Was sagt denn nmap von deinem Client in Richtung Server ausgeführt?

HolgerAusB
22.09.10, 10:07
nmap von der festen IP aus liefert:


PORT STATE SERVICE VERSION

22/tcp filtered ssh
135/tcp filtered msrpc
2000/tcp open cisco-sccp?

Ich habe gerade die Windows-Version von nmap installiert. Ich bin auch nicht gerade Profi. Wenn das tatsächlich was bringen könnte, sagt mir bitte welchen Scan ich durchführen muss und welche Daten relevant sind.

honkstar
22.09.10, 11:42
Naja,

das hier:
22/tcp filtered ssh
sagt aus, dass da irgendwo ne FW zwischenhängt, die das blockiert.
Was sagt nmap, wenn du es von einer anderen IP ausführst?

HolgerAusB
22.09.10, 15:19
das hier: sagt aus, dass da irgendwo ne FW zwischenhängt, die das blockiert.
Was sagt nmap, wenn du es von einer anderen IP ausführst?

Genau das ist ja mein Problem. Von wo anders geht es. Ich hab' jetzt einfach mal auf meinem Linux-VDR in /etc/apt/sources.list ein Zusatzrepo gesucht und versucht dorthin eine SSH-Verbindung aufzubauen. Hier besteht das gleiche Problem. Direkt geht es nicht nur über den Anonymisierungsproxy bekommen ich überhaupt den Login-Prompt zu sehen.

Zusätzlich habe ich den D-Link Router abgeklemmt und mein Netbook direkt an das "Funkmodem" meines Providers [1] gehängt um ein Problem mit der Hardware-Firewall auszuschließen. Keine Besserung des Problems.

Das ergibt jetzt für mich folgende Möglichkeiten nach Wahrscheinlichkeit:


Mein Provider blockiert neuerdings ausgehende Verbindungen auf Port 22
Meine IP oder der IP-Bereich meines Providers ist aus irgendwelchen Gründen auf einer Blacklist gelandet


Oder könnte es noch was anderes sein?

[1] Mein Provider: http://www.richtfunk-hg.de/ Internet per Richtfunk für ländliche Gebiete ohne echtes DSL über Telefonkabel.

HolgerAusB
22.09.10, 15:44
Habe meinem Provider ein Mail geschickt. Exakt zwei Minuten später kam die knappe Antwort:

Sollte wieder gehen...

Und es geht wieder. Begründung fehlte leider aber es lag dann wohl doch am Provider.

Danke für eure Hilfe.

Holger