wo finde ich die Dokumentation zum Rettungssystem?

PeterLeimbach · 20. Januar 2024

Hallo ,

mein vPS wurde im Rettungssystem gestartet. Leider kann ich keine Information finden, was das eigentlich konkret für mich bedeutet?

Ich würde gerne noch ein paar Daten abziehen und dann ein neues System aufbauen.

Ich kann mich über servercontrolpanel.de einloggen. Das ist schon mal ganz gut.

Mir ist zwar mittlerweile auch klar, dass es sich um ein grml mit abgespecktem debian handelt, aber ich habe folgende Fragen

a) gibt es auch eine Beschreibung dazu?
b) wie komme ich an meine alten Filesysteme, um Daten abzuziehen?

Mit freundlichen Grüßen
Peter

Hille · 20. Januar 2024

Hast du das Rettungssystem manuell aktiviert? Schau mal in den Einstellungen, ob dort von HDD gebootet wird.

PeterLeimbach · 20. Januar 2024

Nein, das Rettungssystem wurde von netcup gestartet.

Das wurde auch mit mir abgestimmt.

Ich habe nur keine Informationen was ich jetzt in dem Rettungssystem machen kann und wie ich an das davor aktive Filesystem komme.

aRaphael · 20. Januar 2024

Zitat von PeterLeimbach

b) wie komme ich an meine alten Filesysteme, um Daten abzuziehen?

Du musst die disk finden, auf der dein System installiert ist und dieses dann einbinden (und evtl. chrooten)

fdisk -l listet die virtuellen Platten auf und dein System dürfte dann auf der größten liegen, z.B. /dev/sda3 o.ä.

Die bindest du dann ein, mit mount /dev/sda3 /mnt

und dann ist u.U. noch chroot /mnt /bin/bash nötig

Danach kannst du auf deine Systempartition über /mnt zugreifen (Falls nicht, shell nochmal schließen und neue aufmachen)

Früher war das in der netcup-wiki dokumentiert, aber in der neuen sind etliche nützliche Infos leider weggefallen.

PeterLeimbach · 20. Januar 2024

Danke

# fdisk -l
# mount /dev/sda3 /mnt

hat mich zumindest mal in die Lage versetzt an die Files zu kommen.

Ich arbeite aktuell über servercontrolpanel.de, da ssh sich beschwert hat, dass der Hostkey sich geändert hat.
Da es ja ein anderes Image ist, von dem gebootet wurde, sollte das nachvollziehbar sein und kein Man in the Middle Attack sein oder?

Ich würde gerne mit scp die Files abziehen.

Hille · 20. Januar 2024

Zitat von PeterLeimbach

Nein, das Rettungssystem wurde von netcup gestartet.

Das wurde auch mit mir abgestimmt.

Mich würde mal interessieren, warum das Rettungssystem gestartet wurde? Gab es Probleme mit dem Server ?

PeterLeimbach · 20. Januar 2024

Netcup hat Auffälligkeiten festgestellt und den Server sicherheitshalber gestoppt.

Ich sichere jetzt die Daten und baue den Server neu auf.

Hille · 20. Januar 2024

Neu aufsetzen ist sicherlich eine Lösung. Allerdings hätte ich erstmal geschaut, um welche Auffälligkeiten es sich handelt bzw. wie es dazu gekommen ist.

KB19 · 20. Januar 2024

Zitat von PeterLeimbach

Ich sichere jetzt die Daten und baue den Server neu auf.

Lade sicherheitshalber ein vollständiges Image der HDD herunter (z.B. mit dd) und lege es irgendwo lokal sicher ab. Dann kannst Du später leichter weitere Analysen durchführen und hast auch eventuell notwendige Beweise noch unverändert vorliegen. Aber mounte diese Imagedatei danach bloß nicht mehr schreibend, immer nur Read-Only.

nebula76 · 21. Januar 2024

Zitat von PeterLeimbach

Da es ja ein anderes Image ist, von dem gebootet wurde, sollte das nachvollziehbar sein und kein Man in the Middle Attack sein oder?

Der Key kann dadurch nicht mehr der gleiche sein, das stimmt. Um sicher zu gehen, kannst du über die VNC-Konsole die Fingerprints der Keys (in der Regel gibt es welche für RSA, DSA und ECDSA in jeweils getrennten Dateien) ausgeben:

Code

ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub

Die kannst du dann abschließend vergleichen.