Beiträge von micha_

Leider wurde mein Server nicht neu gestartet nach dem Umzug Heute Nacht.
Dachte zuerst erst liegt an der config meines servers, der lässt sich aber problemlos über das ovcp starten, stopen und neustarten...

Also habe die Frage auch an den Netcup-Support gestellt und folgende Antwort erhalten:

Guten Tag Herr Michael XXX,


die Ports sind vom Wirtssystem offen. Sie greifen nicht auf Ihren vServer zu. Sie sind für das Backupsystem erforderlich.


Mit freundlichen Grüßen

XXXX XXX

netcup Team

Damit ist das Thema denke ich geklärt und ich kann wieder aufatmen

nach einem reboot war es auf jeden fall noch der gleiche, mir ist das erst heute aufgefallen, zum langfristigen verhalten kann ich nichts sagen

unhide-tcp liefert folgendes:

Starting TCP checking

Found Hidden port that not appears in netstat: 39210
Found Hidden port that not appears in netstat: 39579
Starting UDP checking

Found Hidden port that not appears in netstat: 982
Found Hidden port that not appears in netstat: 32768
Found Hidden port that not appears in netstat: 50256
Found Hidden port that not appears in netstat: 56486

nmap kann wohl nichts mit dem service anfangen:
PORT STATE SERVICE VERSION
39210/tcp filtered unknown

selbst nach der definition einer Firewall-Regel, die ja allen Traffic verbietet:

order Richtung Protokoll Quell IP Quell Port Ziel IP Ziel Port Vorgabe Übereinstimmung Wert
1 INPUT tcp alle alle x.x.x.x alle DROP

Kann ich noch von Daheim aus auf die Ports telneten....

auch das blocken aller udp und icmp anfragen verhindert nicht dass ich auf die ports telneten kann.

Hi,

also ich kann mich per telnet auf die ports connecten es kommt allerdings keine Meldung, nach der Eingabe von ein paar Zeichen bricht die Verbindung ab. Allein in der Range wo mein Server liegt (von *.*.*.1-*.*.*.255) sind bei etwa 75 ips diese Ports offen, überall das gleiche Verhalten wie bei mir mit telnet. - Deswegen die Vermutung, dass dies etwas mit den Vservern zu tun hat.

Wie gesagt netstat und auch lsof liefert keinen Hinweis darauf, welche Prozesse diese Ports offen halten.

open localhost 39579
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
sadasdasdas
Connection closed by foreign host.

Hi,

habe gemerkt dass auf meinem vserver die tcp-Ports 39210 und 39579 offen sind.

Netstat zeigt allerdings keinen prozess an, der auf diesen Ports lauscht.

Einen Scan des Subnets in dem sich mein vserver befindet, ergab dass auf einigen anderen servern die 2 Ports offen sind.

Google hat nichts ergeben, deswegen meine Frage an die Community: weiß jemand was unten den Ports (eventuell vServer-technisch) läuft?

Gruß
Micha

Also der Server läuft seit 18 Uhr dank dem Netcup Support wieder.
Was es für ein Problem gab "muss noch untersucht werden".

Das backup lief wohl durch aber der Server konnte weder automatisch noch manuell gestartet weren. Hängt wohl generell damit zusammen, dass ich Debian squeeze/sid einsetzte....

Ich bekam diese Fehlermeldung:

Using makefile-style concurrent boot in runlevel 3.
tcgetattr: Inappropriate ioctl for device

Bei mir hängt das Backup seit 09:45 heute Morgen, hab den Support bereits angeschrieben.
Anscheinend sind die Backup-Probleme also nicht gelöst.
Hätte ich lieber mal vorher hier ins Thema reingeschaut.....

So,

habe ein wenig weiter gesucht und in der /etc/pam.d/common-auth das pam_access modul aktiviert:

account   required   /lib/security/pam_access.so #  pam_access.so




auth    required        pam_unix.so nullok_secure

Allerdings bin ich jetzt an der /etc/security/access.conf am verzweifeln.

vielleicht kann mir hier jemand weiter helfen?

- : ALL : ALL
und
- : security-test-account : ALL

funktioniert - d.h. in keinem der Fälle kann man sich mit dem korrekten zugangsdaten des security-test-account über pops einloggen.

Allerdings soll ja nur eine IP gesperrt werden, das funktioniert bei mir über alle in der conf angegebenen Möglichkeiten nicht.

Auszug aus der Mail-Log:

pop3d: Connection, ip=[::ffff:95.208.146.XX]

Die folgenden Einstellungen in der access.conf funktioniert nicht:

- : ALL : 95.208.146.

D.h. ich kann mich immer noch einloggen.

Wäre um jede Hilfe dankbar.
Micha

Hallo zusammen,

um den fortwährenden brute-force Attacken auf die IMAP / SMTP / POP3 Dienste einhalt gebieten habe ich fail2ban mit der action hostdeny konfiguriert, da iptables ja leider auf den vservern nicht verfügbar sind.

Die Bruteforce Attacken werde von fail2ban korrekt erkannt und in /etc/hosts.deny geschrieben. Der sshd verweigert daraufhin wie gewünscht jegliche Kontakt-Versuche.

Die ganzen courier Programme scheint die hosts.deny Einträge nicht zu interessieren.

Weiß jemand wie ich courier beibringen kann die Datei zu berücksichtigen, oder in welche Datei ich für courier die einträge hinzufügen muss?

Habe weder über google noch über man etwas zu deny hosts gefunden.

Ich habe debian lenny mit courier-"authpam" am laufen.

Viele Grüße und eine frohe Weihnachtszeit.
Michael