Posts by kameltreiber84

Hallo,

ich habe soeben die Groupware für eine Domain mit neuer Mail eingerichtet. Leider kann ich an diese Adresse jetzt keine Mails mehr senden von fremden Emails: "Relay access denied".

• Das Versenden von Emails von der neuen Adresse aus funktioniert
• Das Empfangen von Mails in der neuen Adresse funktioniert, sofern die Mail über den SOGo Webclient versendet wurde
• Sende ich z.B. von einer GoogleMail Adresse zu dieser neuen Email, bekomme ich einen Mail-Delivery-Bounce "Relay Access Denied"
• Fahre ich meinen vServer runter und sende an diese Email Adresse bounced es nicht, aber ich empfange auch nichts

Dazu ist zu sagen, dass die Emails zuvor auf dem Server mit Postfix oder Dovecot betrieben wurden. Bei Frxlor habe ich jedoch die Domains dafür ausgetragen.

Danke

Quote from H6G

passwd root - ansonsten guck mal in der /etc/passwd und /etc/shadow ob der Root da irgendwie deaktiviert wurde

Vielen Dank!, Jetzt konnte ich dass Passwort endlich ändern und mich damit einloggen.

Ich frage mich dennoch trotzdem, warum das neue gesetzt Passwort aus SCP niemals funktioniert hat.

Thx + Grüße

Quote from H6G

Grml nutzt als Shell die ZSH, chroot versucht deine hinterlegte Shell nochmal zu starten.

Deshalb müsstest du chroot einmal mitgeben, dass du /bin/bash als Shell möchtest

Super, das mounten hat so geklappt. Ich konnte einen neuen User anlegen mit dem ich mich per ssh in das Hauptsystem einloggen kann. Leider ist das aber noch nicht der root User.

Quote from vmk

whoami0501 Der Login an sich funktioniert, die Shell kann dann nicht gestartet werden und er fliegt wieder raus.

Danke soweit. Ja das Mounten hat soweit geklappt, ich bekomme einfach nur keine permission mehr mit dem Root-User per SSH ins Hauptsystem.

Quote

geht der login eines "normalen" Users? (evtl. einen erstellen)

Ich habe im Rettungssystem per adduser einen angelegt, damit hatte ich aber keinen neuen User im Hauptsystem.

Quote

Welche shell ist in /etc/passwd eingetragen?

Hier ist die gemountete /etc/passwd:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:103:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:104:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:105:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:106:systemd Bus Proxy,,,:/run/systemd:/bin/false
Debian-exim:x:104:109::/var/spool/exim4:/bin/false
messagebus:x:105:110::/var/run/dbus:/bin/false
statd:x:106:65534::/var/lib/nfs:/bin/false
sshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:108:113:MySQL Server,,,:/nonexistent:/bin/false
postfix:x:109:115::/var/spool/postfix:/bin/false
bind:x:110:117::/var/cache/bind:/bin/false
proftpd:x:111:65534::/run/proftpd:/bin/false
ftp:x:112:65534::/srv/ftp:/bin/false
dovecot:x:113:118:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
dovenull:x:114:119:Dovecot login user,,,:/nonexistent:/bin/false
vmail:x:2000:2000::/home/vmail:/bin/sh
_apt:x:115:65534::/nonexistent:/bin/false
courier:x:116:121::/var/lib/courier:/bin/false

Nach chroot /mnt/ erhalte ich übrigens:

chroot: failed to run command ‘/bin/zsh’: No such file or directory

Quote from vmk

Du hast das Log gerade an der Stelle angeschnitten, wo es interessant wird.

Wieso setzt du das Passwort via Rettungssystem nicht selbst bzw. hinterlegst Keys?

Nach dem ersten Login Versuch unten in der Log habe ich keinen zweiten mehr gemacht - heißt ist noch nicht geschnitten.

Es gibt keine Keys, ich will nur einen ssh root login durchführen. Der ssh-Login ins rettungssystem funktioniert. Der SSh-Login ins Hauptsystem leider nicht (siehe Log). Thx

Hier die Debug Log:

PS C:\Users\Florian> ssh root@xx.xx.xxx.xxx -v                                                                                                                     OpenSSH_for_Windows_7.7p1, LibreSSL 2.6.5
debug1: Connecting to xx.xx.xxx.xxx [xx.xx.xxx.xxx] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_ed25519-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_xmss type -1
debug1: key_load_public: No such file or directory
debug1: identity file C:\\Users\\Florian/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_7.7
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.4p1 Debian-10+deb9u7
debug1: match: OpenSSH_7.4p1 Debian-10+deb9u7 pat OpenSSH* compat 0x04000000
debug1: Authenticating to xx.xx.xxx.xxx:22 as 'root'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:xxxxxxxxxxxxxxxxxxxxxxxx07xuU
debug1: read_passphrase: can't open /dev/tty: No such file or directory
The authenticity of host 'xx.xx.xxx.xxx (xx.xx.xxx.xxx)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxx07xuU.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'xx.xx.xxx.xxx' (ECDSA) to the list of known hosts.
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey after 134217728 blocks
debug1: pubkey_prepare: ssh_get_authentication_socket: No such file or directory
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: C:\\Users\\Florian/.ssh/id_rsa
debug1: Trying private key: C:\\Users\\Florian/.ssh/id_dsa
debug1: Trying private key: C:\\Users\\Florian/.ssh/id_ecdsa
debug1: Trying private key: C:\\Users\\Florian/.ssh/id_ed25519
debug1: Trying private key: C:\\Users\\Florian/.ssh/id_xmss
debug1: Next authentication method: password
debug1: read_passphrase: can't open /dev/tty: No such file or directory
root@xx.xx.xxx.xxx's password:
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
debug1: read_passphrase: can't open /dev/tty: No such file or directory
root@xx.xx.xxx.xxx's password:

In der Debug Log erhalte ich:

debug1: read_passphrase: can't open /dev/tty: No such file or directory

Host Key checking habe ich bisher nicht aktiviert (und soll es auch für den Moment nicht)

Habe mich beim Support gemeldet und (ohne dass ich weiß warum :)) geht der SSH Root für das Rettungssystem wieder (Danke!). Der SSH Login auf dem Hauptsystem erteilt mit aber weiterhin "Access Denied" - und das kam wie beschreiben relativ plötzlich - trotz Wechsel des root-Passworts im SCP.

Ich versuche nun also den ssh-root-Login des Hauptsystems im Rettungssystem wieder zu aktivieren. In /mnt/etc/ssh/sshd_config steht bereits PermitRootLogin bereits auf Yes.

Was kann ich noch tun, um den Fehler zu behben?

Ja, ich habe die IPs genau verglichen. Ich veinde es wirklich sehr verwunderlich, dass auch der ssh-Login für das Rettungssystem nicht funktioniert...

Quote from whoami0501

Hast du die Keymap (siehe Screenshot) im SCP auf "de" gestellt?

Das habe ich auch probiert. Aber wie gesagt: Es funktioniert auch nicht an meinem Windows und Mac Rechner. Und ich habe die Keys im VNC auch ausprobiert - korrekt.

Quote from sdellenb

Wenn du beim ssh Kommando noch ein -v dazu machst, gibt's debug Output.

Das hilft mir meistens, das Problem einzugrenzen.

root@xx.xx.xxx.xxx's password:

debug1: Authentications that can continue: publickey,password

Permission denied, please try again.

root@xx.xx.xxx.xxx's password:

Quote from H6G

Beschreibe mal bitte genau, was du Schritt für Schritt getan hast.

Gerne.

1. Im SCP in der Bootreihenfolge das Netzwerklaufwerk an erste Stelle gesetzt

2. Im SCP den Rettungsmodus gestartet. Ich erhalte ein neues Passwort. Der Server läuft im Rettungsmodus.

3. In Windows und Mac versucht per "ssh <IP> -l root" oder "ssh root@<IP>" zu verbinden. Nach dem Password Prompt erhalte ich bei Eingabe des neuen Passwort ein Login failed.

4. Im SCP die Bash im VNC geööfnet. Dort promptet er mich direkt nach dem User. root. Dann promptet er mich nach dem Passwort. Ich tippe es wegen der anderen Tastatur diesmal manuell ein. Beim username hatte ich überprüft, dass das abgetippte Passwort auch durch das Keyboard korrekt geschrieben ist. Login failed.

Danke

Ich nutze ein Debian-System. Login prompt kommt, aber die Credentials seien falsch. Das gilt auch für den Versuch in der VNC Console, sogar für das Rettungssystem. ssh root@<IP> hatte ich auch probiert - den Port hatte ich nicht geändert. Es war wirklich erst seit der Defragmentierung defekt.

Hallo,

ich kann mich "plötzlich" nicht mehr per SSH auf meinem vServer per Root einloggen

Kurz davor hatte ich per SCP lediglich eine Defragmentierung durchgeführt und einen Snapshot gemacht. PermitRoothabe ich nicht angerührt Ich habe folgendes versucht:

1. Ein neues Root-Passwort per SCP gesetzt. Mit mehrerern Browsern erfolgreich. Neues Passwort erhalten.

2. Login per SSH in der Windows-Console, Mac-Console (ssh <IP> -l root) und per SCP-VNC war nicht erfolgreich. Auf die richtige Tastatureingabe habe ich jeweils geachtet.

3. Den Server in den Rettungsmodus gesetzt und ein neues Passwort erhalten

4. SSH Login scheitert auch hier auf allen drei Wegen.

Ich bin ja sehr verwundert, insbesondere weil der ssh login im Rettungsmodus ebenso nicht funktioniert.

Ideen, was hier schief laufen könnte? Danke

Quote from Fox1401

Hast du das LetsEncrypt oder ein gekauftes?

Erworben. Das günstigste für 36€ für 2 Jahre. VG

Hallo,

ich habe durch netcup-ccp ein SSL Zertifikat für meine Domain gemietet. Ich nutze einen vServer mit Debian Stretch mit Froxlor-Installation.

Wie kann ich die Domain auf das SSL Zertifikat umstellen?

In Froxlor kann ich kein SSL Zertifikat hinzufügen. Ich kann eine IP mit Port 443 anlegen, allerdings gibt es dort keinerlei Einstellungen für SSL (siehe Screenshot).

SSL ist aktiviert (a2enmod ssl).

Danke für die Hilfe.

Gruß

Würde mich auch interessieren. Ist ein günstiger Root Server demnächst verfügbar? Thx

Quote from Dragon

Wenn du dir gar nicht sicher bist, ob überhaupt Spam versendet wurde, dann hätte man das Thema ganz anders angehen müssen. Ob Spam versendet wurde, hätte man in den Logs vermutlich leicht erkennen können.

Du hast du absolut recht! In den Logs war kein Versenden erkennbar. ich habe mich durch den Inhalt der Mails mit meinem Absender, die wiederrum als Zitat bei mir ankamen, täuschen lassen. Jedenfalls leistet gerade aut Logs fail2ban hervorragende Dienste. Danke soweit nochmal

Quote from Dragon

Wenn dein Server vorher gehackt wurde und Spam verstandet hat, dann sehe das jetzt genauso aus.

Nunja ein frisches Debian Wheezy Image mit frischem postfix -> und sofort geht es los. Ich gehe nicht davon aus, dass so einfach in ein völlig frisches System eingedrungen werden kann. Zumal ist nicht zu erkennen, dass ich die Mials versendet habe. Es sieht mir mehr danach aus, als wäre bei den angegriffenen anderen Server ich nur als der Absender eingetragen.

Ich habe mich dazu entschlossen neu zu installieren. Dafür habe ich das netcup Debian squeeze Image mit Froxxlor gewählt. Interessanterweise bekomme ich sofort nach der neu-Installation wieder Dinge in der Syslog

1) Das sind immer noch Mails, die als Respones von den Spams zurückkommen
oder
2) Der Hacker hat Froxxlor als EInstiegspunkt gewählt. Das wäre dann auch sicher für netcup interessant.
oder
3) Das sind nun alles rejects von anderen die meinen Server vollspammen

Hier die syslog:
Jan 23 22:38:33 my-host rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" - Pastebin.com

Auch wenn ich das debianz wheezy Image wähle und froxlor selbst installiere kommen noch jede Menge Responeses an. Aber dann keinerlei sql logs! Das lässt vermuten, dass die alte Froxlor Version eine Sicherheitslücke sein könnte. Jedenfalls kommen mit frischen Wheezy mit frischem eigenen Froxlor nun nur noch viele derartige Logs an. Es sieht mir aber auch aus, als wird nur meinen Server vollgemüllt von anderen Spammern:

Jan 23 23:23:24 my-host postfix/smtpd[18220]: NOQUEUE: reject: RCPT from ool-44c3f48a.static.optonline.net[68.195.244.138]: 550 5.1.1 <[email]riedrichs@my-host.de[/email]>: Recipient address rejected: User unknown in local recipient table; from=<> to=<[email]riedrichs@my-host.de[/email]> proto=ESMTP helo=<millmanaronslaw.com>

EDIT: Es scheint als sei ich Oper einer Backscatter Attacke:
Fail2ban for the uninitiated. | Binaryone - Part 8
Postfix Backscatter Howto