Abuse Hinweis: Systemanalyse verlangt

  • Offenbar ist mein vserver für was auch immer missbraucht worden, er wurde abgeschaltet, sollte nun im Rettungssystem zwecks Analyse des Vorfalls zur Verfügung stehen.


    Gut, ich habe mich via SSH in was auch immer eingeloggt:



    Linux v22015012630822830 3.2.0-4-amd64 #1 SMP Debian 3.2.63-2 x86_64
    rescue:~#


    Wie komme ich nun an meinen VServer?

  • Bin vom Wiki (mit eben diesem Beitrag) auf das Forum gelangt, weil
    1. sich diese Anleitung ausdrücklich auf KVM-Server bezieht (und ich einen VServer habe)
    2. ich keine Ahnung habe, wie ich "filesystem type" formulieren soll. "ext4" vielleicht???

  • nein, ich verwende kein LVM
    abgesehen davon hat das Teil nur zwei Partitionen, ext und swap.



    Zweck der Übung ist lediglich der Download sämtlicher Logfiles. Der Server war ein frisch aufgesetzer Debian Wheezy (Gnome und xrdp) + Webmin, Zweck seines Dasein war, einem Linux-Hasser zu demonstrieren, dass ein Debian-Webserver auch ohne SSH-Konsole, schlimmstenfalls sogar via Windows RDP administriert werden kann. Er ist nur 4 Tage alt geworden und wenn mich netcup nicht genötigt hätte, eine System-Analyse vorzunehmen würde ich noch so gerne auf die Leichen-Fledderei verzichten ...

  • sich diese Anleitung ausdrücklich auf KVM-Server bezieht (und ich einen VServer habe)


    Hast Du noch ein altes Produkt auf Linux-VServer Basis? Deine zitierte Ausgabe vom Rettungssystem sieht aber eher nach einem KVM-Produkt aus.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • bin schon länger verwirrt ...:



    Das Teil ist ein vServer auf Basis von KVM, also ein vServer. Aus "Kundensicht" hat die Maschine look & feel einer physischen Maschine ... (Account-Bezeichnung: v22015012630822830 - Root-Server L SSD v5 6M).
    Darum ist mir ja auch ein wenig rätselhaft, was genau ich "mounten" soll. Zwar kenne ich nur VMWare als Virtualisierungs-Software ein wenig, aber aus diesem Wissen heraus würde ich, eingeloggt im Rettungssystem, eher so etwas wie einen Folder erwarten, der dann die Files meiner Maschine enthält.
    Insofern weiss ich mit Deiner Frage "altes Produkt auf Linux-VServer Basis" auch nicht viel anzufangen: Klar, ich habe die "Maschine" mehrfach neu aufgesetzt, was Du aber sicher nicht im Kopf hattest.


    Abgesehen davon: Da ich keinerlei Anleitung gefunden habe, wie ich ins "Rettungssystem" komme und mein vServer ja abgeschaltet ist habe ich mich via SSH und dem temporären PW auf die IP des abgeschalteten vServers eingeloggt. Und bin eben dort "wo auch immer" gelandet.

  • Wenn ich mir das hier alles durchlese, verstärkt sich immer mehr der Eindruck, dass du sehr wenig Erfahrung mit Linux hast. Du solltest wissen, was mounten bedeutet und wie du an deine Files kommst.


    Das Rettungssystem ist ein Minimalsystem, wo du deine root-Partition mounten musst und dann auf alle Dateien zugreifen kannst. Außerdem kann es nicht sein, dass du keine Anleitung gefunden hast. Es wurde mehrere Male im Forum darüber gesprochen und auch im Wiki ist dazu ein Beitrag Rettungssystem – netcup Wiki - Dieser Link wurde hier ja schon verlinkt.


    Ich verstehe nicht ganz, was bei dir jetzt auf Probleme trifft?

  • Die vielzitierte Anleitung Rettungssystem ist insofern verwirrend, weil mein VCP etwas anders aussieht.


    eine Boot-Reihenfolge oder sonst irgendetwas kann ich nicht einstellen, weil der Server deaktiviert ist.
    einen Reiter "Rettungssystem" habe ich nicht, folglich kann ich es auch nicht aktivieren.


    Allerdings funktioniert neuerdings der Mount-Befehl (bis gestern abend bekam ich nur den Hinweis, ich müsse das Filesystem angeben).
    Glücklicherweise reichen meine Linux-Kenntnisse zum Download der mir jetzt endlich zugängigen Logfiles aus ...


  • Normalerweise müsstest du jetzt in der unteren Menüleiste auf "Einstellungen" klicken, und in der dann folgenden Seite "Network" in der Boot-Reihenfolge nach ganz oben einstellen.


    Dann in der oberen Menüleiste auf "Steuerung", und dort den Server mit "Rettungssystem" in das Rettungssystem starten.


    Weiter geht es mit dem Wiki.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Du warst doch bereits im Rettungssystem und hast deine Festplatte gemountet, oder?


    Wenn dein vServer deaktiviert ist, hast du nur Zugriff auf das Rettungssystem und keine anderen Funktionen soweit ich weiß.

  • Der Wikieintrag bezieht sich auch darauf, wenn der vServer nicht deaktiviert ist.


    Wenn er deaktiviert ist, kannst du die ersten Punkte überspringen, da du ja nur in das Rettungssystem kommst.

  • Also so langsam bin ich verwirrt .....


    gaebel
    Erst hast du Probleme mit dem Rettungsmodus, dann schien dir nicht bewusst zu sein das ein KVM-Server auch ein vServer ist und man dachte du redest noch von einem alten Linux-vServer, und es gerät alles irgendwie durcheinander.


    Wie Perryflynn schon sagte : Wenn du auf den Server rauf kommst und die HDD gemountet wird, dann ziehe dir jetzt die LOGs und suche wo eingebrochen wurde. Es wird jetzt von dir (seitens Netcup) verlangt, das du kurz beschreibst wie das passieren konnte, was du dagegen unternommen hast, und das du zusagst das es nicht wieder vorkommen wird. Wenn es ein nacktes System war, dann wird es wohl nicht allzu viele Möglichkeiten geben, wie ein Angreifer ins System kommen konnte. Hinterher kann man dann über den Wiki-Eintrag diskutieren, ob man ihn auf das aktuelle VCP hin überarbeitet, und ob man auf den Zustand eines gesperrten Servers eingeht.



    Ich denke hier ist genug durcheinander gelaufen, und dieser Beitrag sollte sich jetzt auf die Analyse beschränken (wie im Titel angekündigt). Mache für die Vorschläge zum Wiki doch einen extra Beitrag auf.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.