Kann das sein: Provider Ports dicht?

  • Hallo,
    ich habe hier ein sehr eigenartiges Problem, für welches ich keine Lösung finde.
    Vorgeschichte:
    Ich habe einen vserver bei netcup, welcher seit etwa einer Woche unter debian 9 läuft und mit Plesk administriert wird. Vorher lief er mehrere Jahre ebenfalls unter debian und froxlor, bis ich gezwungen war, ihn neu aufzusetzen. Seit einer Woche läuft alles wieder gut, Mailserver, Webserver, 3 Domains, alles im grünen Bereich.


    Heute morgen teilte mir mein Handy mit, es habe keine Verbindung zum Mailserver. Ich wollte mich auf Plesk anmelden... keine Verbindung zum Webserver ...im Terminal per ssh: Connection refused...

    Darauf bin ich ins SCP und dort ins Online-Terminal: nachgeschaut: alle Dienste laufen.
    Dann habe ich mein Handy aus dem internen LAN genommen und sofort Mails damit empfangen und der Zugriff auf die Webseiten geht auch.
    Also vermutete ich das Problem bei meinem Internetprovider und habe die Fritzbox neu gestartet: Siehe da alles geht wieder:thumbup:
    Ca. 5 min später: kein Zugriff per ssh mehr aus meinem Heimnetz, 10 min später komme ich auch wieder nicht auf die Webseite und der Mailserver ist nicht erreichbar.


    1. Ich habe die Verbindung mit traceroute geprüft, die kommt interessanterweise auf meinem Server an

    Code
    1. sudo traceroute -T -p 80 www.mike-westermann.de
    2. traceroute to www.mike-westermann.de (5.45.101.227), 30 hops max, 60 byte packets
    3. 1 fritzbox.mike-westermann.lan (192.168.0.150) 0.534 ms 0.743 ms 1.060 ms
    4. 2 p3e9bf7f8.dip0.t-ipconnect.de (62.155.247.248) 8.727 ms 8.776 ms 8.825 ms
    5. 3 pd900c5e5.dip0.t-ipconnect.de (217.0.197.229) 16.122 ms 16.628 ms 17.802 ms
    6. 4 80.156.161.186 (80.156.161.186) 16.675 ms 16.721 ms 17.697 ms
    7. 5 ae1-0.bbr01.anx84.nue.de.anexia-it.net (144.208.208.140) 19.999 ms 20.781 ms 20.828 ms
    8. 6 netcup-gw.bbr01.anx84.nue.de.anexia-it.net (144.208.211.31) 20.868 ms 21.025 ms 21.913 ms
    9. 7 mail.mike-westermann.de (5.45.101.227) 23.667 ms 17.361 ms 17.813 ms

    mit Port 22 ebenso


    2. Die Verbindung funktioniert manchmal, auch wenn ich gerade nichts teste, einfach so wieder für ein paar minuten. Das gilt für ssh, web und mail gleichermaßen.


    Was kann ich noch testen? Kann das am Provider liegen?


    Vielen Dank
    Mike Westermann

  • Hast Du irgendwelche Dienste wie fail2ban laufen?


    Wenn es wieder nicht klappt: Häng Dich mal mit tcpdump ans Interface (SCP/Konsole) und schau, ob Deine eigenen Datenpakete wirklich nicht beim Server ankommen. Dann kann man einmal ausschließen, dass die Verbindung durch Deinen Server abgelehnt wird. Erst dann macht es Sinn, woanders nach der Ursache zu suchen.

  • Hast Du irgendwelche Dienste wie fail2ban laufen?


    Ja, fail2ban lief auf dem vserver, das hat plesk anscheinend automatisch eingerichtet. Ich habe es erstmal komplett abgeschaltet, seitdem geht auch der ssh-Zugriff. Könnte natürlich Zufall sein, deshalb beobachte ich das jetzt mal ne Stunde...


    Vielen Dank erst einmal

  • Sorry für offtopic, aber: warum installiert man 2021 immer noch debian 9?

    Sorry, da habe ich mich vertan. Ich habe debian 10 auf dem Server. Und falls noch die Frage besteht, warum nicht Bullseye: der server musste schnell wieder laufen und als image gab es das 11er nur als Minimal-Installation?(


    Gruß Mike

  • Ich habe es erstmal komplett abgeschaltet

    fail2ban und ufw loggen ja ihre Aktivitäten - da also mal reinschauen was wieso wann geblockt wurde. auf jeden Fall sollte nach (bzw. eigentlich schon während) deiner Recherche fail2ban dringend wieder aktiviert werden, da man deine Dienste bzw. deren Logins sonst einfach bruteforcen kann. :)

  • ...deshalb beobachte ich das jetzt mal ne Stunde...


    Also es liegt definitiv an fail2ban. Meine derzeitige ip ist dort in den logs und wenn ich es einschalte komme ich nicht mehr auf den Server. Vielen Dank für diesen Hinweis.

    Es ergibt sich noch die Frage, wenn ich fail2ban wieder einschalten möchte, wie ich meine (dynamische) IP auf die whitelist bekomme? Gibt es da überhaupt Möglichkeiten oder fällt fail2ban damit flach?


    Gruß Mike

  • Hast du vielleicht Kennwörter geändert? Neues Handy? Neuer Rechner? Was für einen Anschluss hast du? Wenn du vielleicht einen DSLite Anschluss (Kabel) hast, kann es auch (was zwar Zufall wäre) das jemand anderes die Ursache ist (wie gesagt, kann sein, muss nicht).

    Schaue mal in die Logs welche Benutzer genutzt wurden.

  • Hast du vielleicht Kennwörter geändert? Neues Handy? Neuer Rechner? Was für einen Anschluss hast du? Wenn du vielleicht einen DSLite Anschluss (Kabel) hast, kann es auch (was zwar Zufall wäre) das jemand anderes die Ursache ist (wie gesagt, kann sein, muss nicht).

    Schaue mal in die Logs welche Benutzer genutzt wurden.

    Naja, ich habe den kompletten Server neu aufgesetzt, dabei haben sich natürlich Passwörter und andere Dinge geändert.
    Allerdings ist die Webseite ohne Passwort zugänglich und mir war von fail2ban zwischenzeitlich mehrfach der Zugang verweigert. Das sollte doch eigentlich nur bei fehlgeschlagenen Loginversuchen der Fall sein, oder habe ich da etwas falsch verstanden?
    Des Weiteren habe ich auf allen beteiligten PCs und Handys die Maileinstellungen und Passwörter angepasst, und wenn sie einmal Zugang hatten, sollte das ja auch weiter der Fall sein.
    Bei ssh ist das ein bisschen schwieriger, weil ich schon ein paar skripte laufen habe, die was auf dem Server sichern oder so.

    Deshalb dachte ich, ich schau mal in die logs, wer da verbotenerweise was treibt, aber das ist ein wühlen nach der Nadel im Heuhaufen, weil das alles sehr unübersichtlich ist, und ich noch nicht so genau weiß, wonach ich suchen muss. Im Moment weiß ich z.B. nicht, wo ich (fehlgeschlagene) Einloggversuche per ssh überhaupt finden könnte... aber ich arbeite daran...


    Gruß Mike Westermann


    Edith: Oohh, auth.log scheint ne gute Anlaufstelle zu sein :D

  • Für fail2ban sind in erster Linie mal die Loginversuche über ssh relevant. Da müsstest du also zunächst mal nur die auth.log durchstöbern.

    Irgendeines deiner Skripte wird wohl noch ein altes Passwort für ssh verwenden.

    Oder es ist ein public key, der auf dem alten Server vorhanden war und nun auf dem neuen fehlt,

  • Für fail2ban sind in erster Linie mal die Loginversuche über ssh relevant. Da müsstest du also zunächst mal nur die auth.log durchstöbern.

    Irgendeines deiner Skripte wird wohl noch ein altes Passwort für ssh verwenden.

    Oder es ist ein public key, der auf dem alten Server vorhanden war und nun auf dem neuen fehlt,

    Danke, danke, danke euch allen!

    Zumindest das ssh-Problem ist gelöst. Es war tatsächlich ein Skript das ich vergessen hatte X/... Mit der Mail- und Websperre warte ich mal ab, ob die nur eine Folge der Gesamtsituation waren.


    Gruß Mike

  • Also der normale Jail von Plesk für SSH ist folgender

    pasted-from-clipboard.png

    Diese sperrt eigentlich nur den ssh Port.

    Es gibt allerdings noch die Jail recidive. Diese bannt auf allen Ports.

    pasted-from-clipboard.png

    Ja, ich habe eine Zeile in der fail2ban.log gefunden, in der meine IP als recidive geführt ist. Das war wohl die Ursache für Mail- und Websperre. Das hat allerdings bei mir ein bisschen gedauert, weil ich mich da erst reinlesen musste. Aber erst einmal geht wieder alles wie es soll...

    Ich hab noch eine Frage BTW: Das Plesk ist bei mir eine 15 Tage Trial Version. Hier über netcup bekommt man die volle Version für ca. 7€/Mon. glaube ich. Woanders ist sie noch teurer. Ich finde das ein schönes Werkzeug, aber als Privatanwender, der schon für sein Serverlein und ein bissl Cloudspace jeden Monat fast 25€ hinlegt, ist es mir eigentlich zu viel. Kann ich da eine weitere Trial-Periode anfügen wenn ich alle paar Monde mal nach meinem Server schaue, oder muss ich das dann alles "händisch" machen?

    Wie löst ihr das?


    Gruß Mike

  • Mit der Mail- und Websperre warte ich mal ab, ob die nur eine Folge der Gesamtsituation waren.

    Fail2Ban sperrt grundsätzlich den Zugang zum ganzen Server für eine IP, und nicht nur spezielle Dienste.

    Wenn du für SSH Logins gesperrt wirst, ist dann auch die Firewall für den Webserver etc. gesperrt.

  • Fail2Ban sperrt grundsätzlich den Zugang zum ganzen Server für eine IP, und nicht nur spezielle Dienste.

    Wenn du für SSH Logins gesperrt wirst, ist dann auch die Firewall für den Webserver etc. gesperrt.

    Nein das stimmt so gesehen nicht. In Plesk werden die Jails defaultmäßig wie von mir in Post #15 gesetzt. Da muss man sich die Actions anschauen.

    Bei ssh => "action = iptables[name=ssh, port=ssh]"

    Durch die Jail "Recidive" wurde der Zugang zu allen Ports gesperrt.

  • Plesk ist da etwas eigensinnig. Deine Sperre muss nicht mal wegen fehlerhaften SSH vVerbindungen ausgelöst worden sein. Die Regel recidive prüft alle Sedrverlogs auf unregelmäßigkeiten. In Verbindung mit mod_security und einer Wordpress Installation mit Elementor kann dich das schon mal ausschmieren.