Partiotion aus mir unbekannten Gründen voll.

  • Hallo,


    Ich habe folgendes Problem, ich habe meine Partition nach dem sie voll war, auf fast das Gesamte verfügbare an Speicher erweitert (48 GB von 58 )
    Nun hatte ich paar Tage den Server nicht mehr genutzt, und die Partition ist voll, ich weiß nur leider nicht wieso, oder wie ich es rausfinde.
    Zudem weiß ich auch nicht wie ich sie leeren kann.


    Ich würe mich über eure mithilfe freuen :)


    Mfg Alex

  • Das sollte zum anders zum Ausdruck kommen,
    sie war mit ca 5 GB voll, ich habe sie dann auf 48 GB erweitert, und den Server seither nicht mehr wirklich genutzt, nun ist die Partition voll (48 GB), und ich weiß nicht wieso :O
    Habe nichts mehr angelegt oder hochgeladen

  • Habe nichts mehr angelegt oder hochgeladen


    wenn du aus einem image installiert hast,
    wenn du die originalen passworte noch drauf hast,
    wenn du das froxlor image benutzt hast,
    dann solltest du mal schaun, ob du nicht besuch aus china hast.
    ich hatte hier vor 2-3 wochen einen frischen debian jessie mit froxlor server aus dem nc image neu installieren lassen und hatte danach ne woche keine zeit mehr danach zu sehen. ich war also weder auf dem frisch installierten server eingeloggt noch sonstwas.
    bei meinem ersten besuch nach 2 wochen sah ich dann 2 ssh root logins aus china.
    offensichtlich gibt/gab es da ein problem mit der sicherheit des images.


    ich hatte das übrigens dem support gemeldet. die antwort war "kein support, wir stellen nur die infrastruktur, mit ihrem server haben wir nichts zu tun".
    offensichtlich wurde der inhalt meiner mail also garnicht gelesen...


    jay

  • Wie könnte ich das rescue system löschen


    du sollst das rescue system nicht löschen, sondern wenn die platte so voll ist dass dein server nicht mehr korrekt starte, so kannst du über das rescue system wieder auf die platte zugreifen.
    aber du solltest erstmal mehr über deinen server und die installierten sachen verraten. auch über die art wie du den plattenplatz vergrößert hast.


    logfiles sind meistens in /var/log/ zu finden. wenn diese allerdings wirklich so riesig sein sollten, so ist irgendwas sonst faul. sei es ein brueforce angriff, der die logs zumüllt, oder wirklich ein gehackter server...


    jay

  • jay


    58.218.198.159 hatte eine erhebliche Anzahl an fehlversuchen, schlussendlich hats wohl geklappt, hier hat fail2ban wohl versagt.


    Ich danke dir für die Auskunft, wohl alle wichtigen daten retten und server neu aufsetzen bevor anzeigen folgen.


    China war wohl wirklich da

  • Ohje, wenn ich das so lese könnte mit dem Server alles mögliche passiert sein!
    Das Rescue System kannst du nicht löschen, das ist ein Betriebssystem, welches du über das Netzwerk starten kannst, auch wenn dein Server selbst nicht mehr korrekt starten kann. Damit kannst du Reparaturen an deinem System ausführen, Daten sichern, etc. im Falle des Falles, oder auch prüfen, ob etwaige Probleme deines Servers am Betriebssystem selbst, an der Einrichtung oder doch am Host liegen.
    Die Logfiles findest du bei Linux-Systemen grundsätzlich im Verzeichnis /var/log.

  • 58.218.198.159


    jaaa. 58.218.198.159 ist eine chinanet ip.
    da würde ich auch neu formatieren...
    poste doch trotzdem noch, welches system du auf deinem server hattest. wenn es ebenfalls das denian jessie froxlor von netcup war, dann sollte sich der support vielleicht mein ticket von damals doch nochmal durchlesen...


    jay

  • hui, das klingt ja fast so, als hätte der chinamann den zufallsgenerator des netcup installationssystems ausgehebelt. :-(
    lehre für mich: nach dem minimal install sofort ein login, passworte deaktivieren und ssh key aufspielen...
    jay

  • auch dabei muss man erstmal ein passwort setzen.
    das sicherste passwort ist eben kein passwort...
    ich nehme ja nicht an, daß im minimal install schon eine backdoor steckt.
    ich nahm bisher an, daß es in froxlor einen entsprechenden bug gibt.
    aber das froxlor image war eh nur ein test. meine produktiven server laufen alle ohne so nen schnickschnack ;-P


    jay

  • auch dabei muss man erstmal ein passwort setzen.


    Das macht man ja während der Installation. Nach der Neuinstallation bügele ich immer sofort mein Erstkonfigurationsskript drüber, welches u. A. SSH auf nen anderen Port setzt, Passwort-Login deaktiviert und Pubkey-Auth konfiguriert.
    Bei meiner letzten Installation hat es der Chinamann 2 mal erfolglos versuchen können (laut logs, was mich sehr verdutzt hat nach den wenigen Sekunden), danach war die schon während der Installation geschlossene Tür fest verriegelt und gut versteckt :D

  • Naja, in der Regel sollte die Zeit bis zum Abschalten der passauth nicht ausreichen um dein Passwort zu knacken, es sei denn es lautet "Passwort" oder "Chinamann123" bzw. du wartest ein Paar Tage bis zu das vollziehst ^^ Ein starkes Passwort mit Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen sollte die Angriffe für eine gewisse Zeit überstehen.
    IMO ist das Verändern des Ports schon mal eine schnelle und wirksame Sicherheitsmaßnahme!

  • Guten Morgen,


    Quote

    hui, das klingt ja fast so, als hätte der chinamann den zufallsgenerator des netcup installationssystems ausgehebelt. :-(

    das ist eher unwahrscheinlich bei der Länge und der Zeichenwahl der von uns generierten Passwörter.


    Wenn es mit dem Passwort wirklich zu einer Kompromittierung kam, würde ich an anderer Stelle suchen. Z.B. Trojaner auf dem Rechner, unbefugter Zugriff aufs E-Mail-Postfach oder ähnlichem.



    Mit freundlichen Grüßen


    Felix Preuß

  • hallo,

    das ist eher unwahrscheinlich bei der Länge und der Zeichenwahl der von uns generierten Passwörter.


    natürlich ist es unwahrscheinlich. aber es kam trotzdem nun bereits in 2 mir bekannten fällen ähnlicher art vor.
    bei x milliarden webservern ist "eigentlich" jedes gehackte passwort "unwahrscheinlich"...


    Quote


    Wenn es mit dem Passwort wirklich zu einer Kompromittierung kam, würde ich an anderer Stelle suchen. Z.B. Trojaner auf dem Rechner, unbefugter Zugriff aufs E-Mail-Postfach oder ähnlichem.


    das denke ich ausschließen zu können.
    ich betreibe sämliche mail infrastruktur selbst und der zugriff auf server und postfach findet auch ausschließlich von einer extra gesicherten vm aus statt.
    wenn mein mailserver gehackt wäre, so würde sich das auch direkt dort bemerkbar machen und nicht ausschließlich bei einem kompromittierten nc image.


    im konkreten fall wurde die mail mit den passworten nicht einmal von mir gelesen.
    ich habe über das vcp den server neu mit dem image formatieren lassen und hatte danach dann 2 wochen keine zeit mehr dafür.
    außer den mailheadern war da nichts auf meinem mailclient, da ich die passwortmail nicht gelesen habe.


    ich denke dass ich es auch recht gut beurteilen kann, ob es "meine blödheit" war die zu dem hack führte, oder äußerlich gegebene. sonst hätte ich den hinweis an den support garnicht gegeben.


    zudem - wenn es ein passwortleck auf kundenseite wäre, weshalb sollte der chinamann dann bruteforcen? dann wäre genau EIN login da. und zwar ein erfolgreicher. und nicht vorher 3 megabyte erfolglose...


    es sollte für netcup doch ein einfaches sein, da ein paar honeypots laufen zu lassen.
    einfach irgend einen vserver mit eurem jessie froxlor image bespielen, 2-3-4 wochen lang nichts damit machen und dann mal draufschaun und die china logons bewundern...


    ich finde diese pauschale "es ist erstmal die schuld des kunden" politik, die auch bei den meisten meiner bisherigen kontakte zum kundensupport zum vorschein kam, nervig. auch dann, wenn die blödheit in sicher 90% wirklich beim kunden liegt.
    bei den ersten 3 antworten auf ein ticket hat ganz offensichtlich der supporter nicht einmal mehr als den ersten satz der mail überhaupt gelesen und klickt dann auf einen vorgefertigten abwimmeltextbaustein...


    jay


    ps: sorry für das kapern des threads. vielleicht sollte ein admin das mal zu einem neuen thema abspalten...