PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Root Server immer wieder nicht erreichbar



Duke
06.06.13, 11:39
Servus,

ich kämpfe gerade mit einem Server der ca. alle 2 Tage nicht mehr erreichbar ist und über harten Reset wieder neugestartet werden muss.

Es läuft primär ein WebServer und ein Mailserver.

Im ersten Anlauf der Fehlersuche habe ich ein drweb Spammerkennungsmodul als Fehlerursache vermutet, was nicht mehr korrekt gearbeitet hat. Zusätzlich schien eine ganze Menge Spamm Emails rein zukommen.

Doch auch mit abschalten des Moduls ist jetzt kurzfristig keine Besserung eingetreten. Ich habe mir die Standartlogdateien angeschaut, jedoch fehlt mir der "richtige" Ansatzpunkt nach der Ursache zu suchen.

Habt ihr irgendwelche Ideen wo ich suchen kann und oder welche Tools ich benutzen kann ?

Habe gerade tonnenweise SSH Login Versuche in den Warnings gefunden, ich denke mal irgendwer versucht das Baby zu hacken:

Jun 5 04:52:13 sshd[16833]: error: Could not get shadow information for NOUSER
Jun 5 04:52:14 sshd[16835]: error: Could not get shadow information for NOUSER
Jun 5 04:52:14 sshd[16836]: error: Could not get shadow information for NOUSER
Jun 5 04:52:14 sshd[16844]: error: Could not get shadow information for NOUSER
Jun 5 04:52:15 sshd[16847]: error: Could not get shadow information for NOUSER


Vielen Dank für die Hilfe im Voraus.

nopes
06.06.13, 11:48
Naja die Werkzeuge (cat, tail, grep usw.) wirst du kennen, ansonsten würde ich bei /var/log/messages starten. Meine Idee wäre, ich kenne den Zeitpunkt des Reset, also von da an Rückwärts bis ich weiß was los ist.

Alternativ (dafür ist es nun aber eigentlich zu spät), helfen in solchen Fällen Überwachungswerkzeuge, wenn du zB Munin verwendest, könntest du allein durch einen Blick auf die Graphen erkennen, wann was ungewöhnliches passiert ist. Ein weiteres praktisches Werkzeug ist Nagios bzw. Shinken, welches dich direkt informiert wenn was nicht mehr stimmt.
Wenn du keine solche Werkzeuge nutzen willst, dann überlege dir ein anderes Konzept zum Überwachen, dass ist nämlich nötig, aber das merkst du ja gerade.

Duke
06.06.13, 12:18
Also im Moment vermute ich dass sich wer per SSH Zugriff verschaffen will.

Generell hätte ich jetzt gedacht fail2ban zu installieren, da der Server alt ist und diese Monat eigentlich vom Netz soll, werde ich erstmal den SSH port umlegen.

muell200
06.06.13, 13:11
... werde ich erstmal den SSH port umlegen.

besser waere es, per iptables nur deine ip fuer ssh erlauben...

Duke
06.06.13, 13:13
Grundsätzlich ja ;) Aber ich hab ja auch ne dynamische IP

Was ich mich frage ist (der Server steht bei Strato) ob man über die Rettungskonsole die ja angeblich seriell abgegriffen wird, noch drauf kommt wenn man SSH einfach Komplett abschaltet.

nopes
06.06.13, 13:24
ja kommt man, alternativ schaffe dir ein VPN und erlaube den Zugriff nur darüber.

pucki
20.06.13, 00:13
mmm, also diie umlegung des ssh ports halte ich für eine sehr pragmatische Lösung. Wenn eine höhere (5 stellige) Nummer gewählt wird, reduzieren sich die Angriffsversuche merklich. Des weiteren würde ich, falls nicht bereits geschehen, auf die Authentifizierung über Keys umstellen. Hilfreich wäre auch eine Überprüfung, welche Dienste auf deinem System denn nach außen hin aktiviert sind und diese falls ein Zugriff von außen nicht notwendig ist, auf localhost umstellen oder ganz abschalten. Wenn allerdings bereits ein Zugriff auf dein System erfolgt ist, dann wird das ganze ungleich spannender.

Grüße und gutes Gelingen beim debuggen ...

BR

re

Duke
20.06.13, 00:14
Danke für die Antwort ;)

Ich bin gerade dabei das alte Ding loszuwerden und hab den Umzug vorbereitet, neuer Server ist bestellt. Dort werde ich denke ich auf jedenfall den SSH Port umlegen und auf Schlüssel umstellen