Server ständig offline

  • Guten Abend,


    Ich habe einen Windows Vserver mit Windows Server 2016 der lange zeit problemlos lief aber seit ein paar Tagen habe ich das Problem das mein Vserver regelmäßig offline geht, nach dem start dauert es 30 bis 90 Minuten bis der Server einfach "weg" ist im SCP wird der Server einfach wieder als Offline angezeigt. Im Server selber konnte ich keine Logs oder Anzeichen auf Fehler oder Shutdowns finden, der Server verhält sich als ob man ihn einfach zurückgesetzt oder ausgestöpselt hätte. Selbst wenn der Server Ohne aktiven Dienst oder "zusätzlichen" Prozess läuft ist er einfach wieder aus.

    Ich habe den Support kontaktiert, dieser gibt mir nur zu verstehen das Vserver kein Support erhält (da ja mein eigenes System drauf läuft) und das ich in meinem Windows gucken soll.


    Ich bin leider absolut überfragt was ich machen soll da (meiner Meinung nach) Windows problemlos läuft (ca. 20%Mem und 30% CPU Use), keine zusätzlichen Programme oder Dienste laufen und dann plötzlich einfach aus ist. Aktuell kann ich meinen Server einfach nicht mehr nutzen und ich hoffe das noch jemand ne Ahnung haben könnte was ich tuen kann.


    Vielen Dank im voraus

  • Hay,


    oder der Server wurde durch einen Trojaner/Virus übernommen. Das sieht dann so aus, als ob er neu starten würde, in Wirklichkeit haut das Botnetz die Bandbreite so hoch bzw. die CPU-Last (Bitcoin-Trojaner z.B.), dass die Verbindung mit rdp oder vnc abbricht. Mit einem Testsystem habe ich das schon einmal provoziert (Windows 2008 spaßeshalber mal ohne Updates direkt online gestellt - vier Stunden später 4 Trojaner dieses Musters drauf). Sofort wieder gekillt. Mach mal den Taskmanager auf, wenn Du mal wieder draufkommst, wenn die CPU Last am oberen Rand ist, solltest Du sofort runterfahren und unten lassen bis zur Neuinstallation.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Wenn der Server wegen der fehlenden Lizenz herunterfahren würde, wäre das aber doch im Ereignislog sichtbar. Oder?


    Vielleicht kannst du mal die VNC-Konsole offen lassen und dann notgedrungen eine Stunde abwarten, ob er sauber herunterfährt oder nicht.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Moin,


    rein vom Zeitfenster muss ich meinen Vorrednern einfach zustimmen.

    Aber das würde sich auch durch einen (nicht übersehbaren) Hinweis auf dem unten rechts Desktop klar erkennen lassen.


    Zusätzlich zu den Einträgen in der Ereignisanzeige, unter System etc.

  • danke für die tipps.
    Zwischenstand: ich habe einfach mal ne neue Lizenz code genutzt, mal sehen...
    hab erstmal alles beendet an Prozessen was ich finden konnte und lasse mal den defender drüber laufen, Kaspersky hat bis jetzt nix gefunden.

  • Wenn der Server wegen der fehlenden Lizenz herunterfahren würde, wäre das aber doch im Ereignislog sichtbar. Oder?


    Vielleicht kannst du mal die VNC-Konsole offen lassen und dann notgedrungen eine Stunde abwarten, ob er sauber herunterfährt oder nicht.

    Wenn es aus Lizenzgründen heruntergefahren wurde, steht der Grund im Eventlog. Da kann er sich das warten sparen.

    Learn to sit back and observe. Not everything needs a reaction

  • So hatte ich auch das erwartet, aber:

    Im Server selber konnte ich keine Logs oder Anzeichen auf Fehler oder Shutdowns finden, der Server verhält sich als ob man ihn einfach zurückgesetzt oder ausgestöpselt hätte.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Wieso konzentriert ihr euch alle auf das was man nicht sehen kann?


    Was bekommst du denn direkt nach dem Starten bzw. Einloggen zu sehen? ;)

    "Security is like an onion - the more you dig in the more you want to cry"

  • Wenn der Server unkontrolliert ausgeschaltet worden währe (übers SCP einfach hart reset) würdest du das bei der ersten Anmeldung direkt zu sehen kriegen.

    ACPI shutdown/Herunterfahren per Script/Login/VNC Zugang steht im Eventlog (EventIDs findet man eifnach per Suche).

    Wenn es noch die Testlizenz war, sollte das auch stehen.

  • So hatte ich auch das erwartet, aber:

    Merkwürdig, selbst bei einem harten Shutdown muss da was drin stehen wie z.b. "The last shutdown was unexpected".

    Aber so gar nichts ist schon komisch. Und wenns an der Lizenz scheitert, dann stehts auch drin.

    Learn to sit back and observe. Not everything needs a reaction

  • Das SCP hat übrigens auch ein Log für den Server. Steht da was auffälliges?

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus