Managed Server sperrt mich (meine private IP) aus!?

  • Hi Leute

    vlt hat jemand eine Idee:


    Sonntag (27.10.24) komme ich nicht mehr auf meinen managed Server. Kein Plesk, kein Webmail, keine Webseite auf dem Server kann aufgerufen werden.

    Dachte erstmal, dass es wieder eine DoS-Attack ist (so geschehen vor ca. 8 Wochen) und rufe den Notfall-Support an.

    Ergebnis: meine IP (von der ich die Seiten aufrufe) ist gesperrt - schnellste Lösung: Whitelisten - alles geht

    Montag (28.10.) wieder gesperrt - Anruf bei der Hotline - Ergebnis (in eigenen Worten): "Wir können nicht so managed Server - ist jemand anders zuständig - bitte Mail schreiben"

    Langes nun kurz: FritzBox hat seit Montag Nacht neue IP und die war dann auch gesperrt.

    Vor lauter Frust mir einen VPN-Dienst zugelegt und mit anderer IP-Adresse probiert. Auch die war nach kurzer Zeit gesperrt.

    Lapidare Antwort irgendwann per Mail: Ja wegen "recidive" sind die IPs gesperrt im Fail2Ban

    Auf die Frage WIE das zustande kommt (müssen ja 5 Fehler vorher in 10 Minuten von meiner IP passiert sein), kam nur ein virtuelles Schulterzucken.


    Durch den VPN Trick konnte ich auf einen Rechner eingrenzen, der das Chaos verursacht hat.

    Auf dem läuft Thunderbird (in der neuesten Version) und fragt immer wieder verschiedenste Mail-Accounts ab (ca. 20 Accounts). Es werden aber (ausser beim Start) nie alle Accounts gleichzeitig abgefragt.


    An der Konfiguration von Thunderbird, dem lokalen Rechner und den Mail-Accounts auf dem managed Server wurde min. 1 Jahr nichts geändert!


    Durch etwas Stochern ins Blaue (da ich ja nicht die eigentlichen Fail2Ban-Urachen kannte) fiel mir auf, dass bei ca. 10 Accounts (3 Domains) das LetsEncrypt-Zertifikat schon über 180 Tage abgelaufen ist!?

    OK - der Fehler hätte dann ja schon vorher auftreten müssen.

    Status der Domains bei Plesk: "Gesperrt"


    Also wenn ich das Zertifikat jeweils mit einrechne, dann ist am ganzen System mindestens 180 Tage nichts geändert worden und seit 5 Tagen tickt Fail2Ban aus


    Managed Server heißt ja, das ich nicht an die Logs komme und auch keine Einstellungen machen kann.


    Ich habe da also jetzt 2 Fragen:

    1. Wie kann das Aussperren (scheinbar nur durch Mailabrufe) zustande kommen?


    2. Wieso ist in Plesk bei Zertifikaten die "LetsEncrypt"-Option weg? Ich kann also kein Zertifikat mehr erstellen lassen und selbsterstellte Zertifikate - da flippen Chrome Firefox und Thunderbird total aus


    Ich habe in Thunderbird jetzt bis auf 5 Accounts alle rausgelöscht und taste mich langsam vor, indem ich pro Tag je einen Account dazu mache.

    Würde ich die eigentlichen Verursacher kennen, könnte ich mir die Arbeit sparen :(

  • Go to Best Answer
  • Funktioniert auf dem Managed Server Webmail? Dann würde ich mir die Zugangsdaten für den Posteingangsserver in Thunderbird anzeigen lassen und versuchen,mich damit per Webmail anzumelden. Vorzugsweise von einer anderen IP aus. Falsche Zugangsdaten bei irgendeinem Mail-Account sind bei ir die einzigen Ursachen, warum meine IP für Dovecot jemals gesperrt wurde. Freilich müste man die fail2ban-Einstellungen kennen um Genaueres sagen zu können.


    Ich habe allerdings oben gelesen, dass da wohl recidive genutzt wird. Das heißt, dass die Ursache dafür, dass du jetzt nicht mehr auf die Mails zugreifen kannst, gar nicht zwingend eine fehlerhafte Anmeldung sein muss. Du kannst dich auch mit z.B. fehlendem oder falschem Key beim SSH-Zugang aussperren. Durch den recidive-Filter wirken sich alle Fehler, die bei beliebigen Filtern auftreten, global aus. Ein Fehler bei Service 1, einer bei Service 2, einer bei Service 3, schon hast du drei Fehler für den recidive Filter. Du must also an ALLEN Stellen suchen, wo du von deiner IP aus auf den Server zugreifst. Einen recidive Filter würde ich niemals aktivieren, ohne vorher meine IP global als Ausnahme in fail2ban anzugeben (ignoreip) und auch getestet zu haben. Da kommst du aber selbst nicht ran und deine IP scheint ja auch nicht immer gleich zu bleiben. Bei mir ist es genauso, es ginge bestenfalls mit meiner IPv6, die immer aus dem selben /64 Subnetz kommt.


    Ich würde mal so sagen, bei einem Managed Server recidive zu benutzen ohne Whitelist für die IP des Kunden, das klingt für mich nach einer Abeitsbeschaffungsmaßnahme für den Support und Kundenvermeidung für netcup.


    Meinen Erfahrungen nach ist recidive auch nicht besonders nützlich, da (zumindest bei mir) die allerwenigsten IPs bei mehreren Filtern auffällig werden. Das sind dann auch wohl eher Amateurhacker ;) .

  • Problem ist ja, dass ich komplett ausgesperrt war (also auch kein Webmail).

    Aber da nichts geändert wurde (auch Passwörter nicht) und der Rechner NUR für Thunderbird benutzt wird, kann auch kein SSH-Key (oder falsche Anmeldung an Plesk, oä) das Problem sein.


    Im Thunderbird Log würde auch ein falsches Passwort angezeigt werden als Fehler. Bei einer gescheiterten Anmeldung blockiert Thunderbird sofort und bringt die Meldung, dass das Passwort falsch ist.

    Dort war aber nur "Abruf ... Abruf ... Abruf ... Kein Zugriff"


    Kann es auch nicht mehr nachvollziehen, weil ich jetzt die Zertifikate gelöscht habe und hinterher festgestellt habe, dass Letsencrypt via Plesk nicht mehr möglich ist (da hat der Service noch nicht drauf reagiert - auf diese Frage wegen Letsencrypt)


    Netterweise wurde die VPN-IP auch gewhitelisted, nachdem ich schon eine neue IP hatte :rolleyes:


    Kurz gesagt:

    Das Problem muss der Mail-Abruf (via Thunderbird) gewesen sein, obwohl in den letzten 180 Tagen alles funktionierte und die letzten 180 Tage an KEINER Einstellung etwas geändert wurde.

  • Ist das denn der einzige Rechner, der auf den Server zugreift bzw haben die anderen zugreifenden Rechner eine andere IP? Könnte ja in einem typischen Heim-(W)LAN auch das Smartphone oder was (und wer) auch immer sein mit der selben IP.


    Also allerspätestens bei der LE-Geschichte ist das doch eigentlich ein Fall für den Notfall-Support.

  • Notfall-Support ja eh, weil es Sonntag war


    Ich konnte es ja insofern eingrenzen, dass dieser Rechner eine VPN-Adresse X hatte und alle anderen Rechner mit der IP Adresse Y ins Netz gingen.

    Nachdem dann Adresse X auch gesperrt war, konnte es nur dieser Rechner gewesen sein.


    Dass es irgendwie mit Zertifikaten und/oder LE zusammenhängt ist ja nur eine Vermutung - aber da muss seitens des managed Server durch netcup eine Änderung in den letzten 7 Tagen erfolgt sein.


    Ich teste jetzt halt mal IP-Adressen durch (via VPN).

    Problem ist, dass ich auch einen gmx-Account abrufen muss und die viele VPN-IPs blockieren. Das nervt und verzögert halt alles etwas.

  • Es sollte doch ür den (Notfall-)Support problemlos möglich sein, zumindest festzustellen, welche Filter die per recidive gebannte IP-Adresse registriert haben. Da langt doch ein Blick ins /var/log/fail2ban.log. Du kommst da ja leider nicht dran. Oder kannst du über Plesk irgendwie Einblick nehmen in fail2ban? Naja, ohne Zugriff auf den Server sowieso nicht. Wenn sie es selbst nicht anschauen wollen, dann müssen sie dir halt die entsprechenden Logs zur Verfügung stellen. Oder wenigstens recidive mal deaktivieren und die darüber gesperrten IPs entsperren, dann hast du vielleicht wieder bessere Zugriffsmöglichkeiten. Kann ja wohl nicht sein, dass du jetzt mit minimalenInformationen fast wie ein Hacker deinen eigenen Server von außen analysieren musst.

  • Ja ich kann nicht auf die Logs zugreifen. Auch nicht irgendwie auf fail2Ban oder sonstwas.

    Nein - auch auf Rückfrage keine Antwort was der Grund für "recidive" war. Keine Log-Auszüge und nix


    Ich warte jetzt eben mal, ob mir die IP wieder um die Ohren fliegt

    Oder aber es geht wieder und dann lag es wohl doch an den 3 Domains mit den seit 180 Tagen abgelaufenen Zertifikaten.


    Könnte ja aber sein, dass hier jemand schon ein ähnliches Problem hatte.


    Vor 2 oder 3 Jahren hatte ich mal das Problem, dass meine IP gesperrt wurde, weil ne Cam versucht hat mit falschem Passwort Daten per FTP hochzuladen.

    Da war die erste Antwort "Wir sperren keine IPs" 8o

  • Vor 2 oder 3 Jahren hatte ich mal das Problem, dass meine IP gesperrt wurde, weil ne Cam versucht hat mit falschem Passwort Daten per FTP hochzuladen.

    Da war die erste Antwort "Wir sperren keine IPs" 8o

    Ich sperre auf meinenServern auch keine IPs. Muss ich auch nicht, das macht ja fail2ban in Zusammenarbeit mit der Firewall. ;)


    Ich habe mich auch schon öfter ausgesperrt bei meinen Servern, insbesondere beim Mailserver durch falsche Passwörter. Aber recidive setze ich halt nicht ein und so kann ich mich direkt über mein Serverpanel wieder entsperren. Mit recidive ohne ignoreip ginge das schon mal nicht, weil ich keinen Zugriff auf das Serverpanel mehr hätte.

  • Ich habe halt mal das Geld für einen VPN-Dienst investiert. So kann ich das mit der Sperre umgehen.


    Ich blicke es eben nur nicht, warum Fail2Ban mich 5 mal hintereinander abwatscht (das gibt dann recidive).

    Passwörter und/oder falsche Accounts können es auch nicht gewesen sein, denn da hätte sich Thunderbird gemeldet oder es stünde was im Thunderbird-Log.


    Und vor allem: Wie bekomme ich ein LetsEncrypt Zertifikat (mit Auto-Verlängerung) in meine Domain?

  • Das sollte doch Plesk automatisch können. Ich schätze mal, das ist in deinem Plesk vergleichbar wie bei einem netcup Webhosting. Wie hast du denn die LE-Zertifikate ursprünglich erzeugt, die sich jetzt nicht automatisch aktualisieren? Wenn sie über Plesk erstellt wurden, sollte Plesk eigentlich automatisch die Aktualisierung anstossen. Obwohl, Moment ... Sind das Wildcard-Zertifikate? Die aktualisieren sich im Webhosting auch nicht automatisch.


    Ich wüsste jetzt aber auch nicht, warum ein ungültiges/abgelaufenes Zertifikat zur Blockierung einer die Domain aufrufenden IP führen sollte. Oder warum ein fehlgeschlagener Aktualisierungsversuch deine IP - die ja nichts damit zu tun hat - ins fail2ban Jail stecken sollte. Alles etwas merkwürdig.

  • Ich erwarte vom Service nicht (mehr) viel

    Und zu LE muss ich gestehen, dass ich die Zertifikate mal vor 2 Jahren oder so aktiviert habe und damals (denke ich) über das WebInterface von Plesk.

    Dann wird ja verlangt, dass Du irgendwo irgendwie n ACME hinterlegst und alles ist gut

    Aber dieses "LetsEncrypt" Symbol in Plesk ist nirgends mehr zu finden

    Da muss ich aber wohl (leider) den Service befragen wo das hin ist.


    Ich versteh nur nicht, dass noch niemand solch ein /zumindest ähnlich geartetes) Problem hatte.

    Aber ok - ich bin auch nur sporadisch in Foren unterwegs

    Vlt findet sich noch ein "Leidensgenosse"

  • Dann wird ja verlangt, dass Du irgendwo irgendwie n ACME hinterlegst und alles ist gut

    Klingt nach DNS-Challenge. Das hält nur 90 Tage.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Vielen Dank

    Damit weiß ich, was Schuld ist


    Habe das ja schon durch Löschen von 80% der Konten aus Thunderbird erledigt.

    Ticket kann geschlossen werden, wobei es mir immer noch schleierhaft ist.


    3 Accounts haben durch eine fehlerhafte Anmeldung die "recidive" Sperre ausgelöst - ok

    Thunderbird stoppt aber den Mail-Abruf bei einer Fehlermeldung vom Server und fragt nochmal nach dem Passwort --> ist nicht passiert

    Thunderbird hatte keinen Anmeldefehler im Log stehen

    Weder auf dem Server noch in Thunderbird wurden irgendwelche Passwörter in den letzten (min.) 180 Tagen geändert


    Ich werde also sukzessive die Accounts wieder dazufügen und dann mal sehen


    Was wir wissen: Ein abgelaufenes Zertifikat löst keinen Fehler aus und stellt man eine Domain auf "Gesperrt" in Plesk, dann wird ein LE-Zertifikat nicht mehr erneuert und man kann in Plesk auch kein LE-Zertifikat erstellen.