Mal eine Frage vorab : Was läuft denn auf dem Server?
Eventuell hat man ja auch in einem der Dienste eine Möglichkeit zum Aufzeichnen.
Btw.: Willst du die Serverlast, den Speicherverbrauch oder beides beobachten?
Mal eine Frage vorab : Was läuft denn auf dem Server?
Eventuell hat man ja auch in einem der Dienste eine Möglichkeit zum Aufzeichnen.
Btw.: Willst du die Serverlast, den Speicherverbrauch oder beides beobachten?
Das ist süss : Auf meine Nachricht an den Support (Samstag) habe ich keine Antwort bekommen, dafür jetzt eine Abuse-Meldung, da mein Server zu hohe Auslastungen verursacht und die Resourcen verschlingt. Dies passiert aber (wie in der Meldung beschrieben) immer dann, wenn die Firewall aufgeht. Sonst läuft der Server gut. Bin leider im Aussendienst, und kann mich nicht ausreichend darum kümmern bzw. den Support anrufen. Habe erstmal die Dienste soweit geht abgeschaltet und fast alles in der FW gesperrt. Beobachte nun mal die Auslastung. Mal sehen was passiert.
Willkommen im Club
Und, SIM, teste mal, es könnte sein das Ports offen sind die laut FW eigentlich gesperrt sein sollten. Bei mir betrifft das z.B. den Port 80 und die Ports für TS3.
Na klar doch.
Sorry, aber bei mir läuft es auch noch nicht, habe noch keine Nachricht vom Support erhalten.
Ich denke nicht das es am Script liegt, aber warten wir mal die Antwort vom Support ab.
Es ist die Frage, ob man mit "dem Rauschen" leben kann. Seitdem meine Firewall einmal so richtig offen war, haben sich wohl ein paar "tolle Leute" oder irgendwelche Bots meinen Server als Ziel ausgesucht. Nun habe ich den Effekt, das, sobald meine Firewall aufgeht, die System-Auslastung (ausgegeben mit top) immer wieder zwischen 3.5 und 7 liegt. Ich brauche wohl nicht dazu zu sagen, das der Server dann mehr als besch..... läuft. Solange die Firewall zu ist, habe ich eine Auslastung von <0.4 mit allen installierten Diensten und Servern (wenn auf meinem MC-Server niemand engeloggt ist).
schimmelmann & extremmichi
Ich habe leider auch wieder Probleme mit der Firewall. Nachdem erst alles korrekt lief, und dann das Script ein paar Drop-Regeln eingetragen hat, bleiben wieder ein paar Ports offen. Habe den Support per Formular im CCP kontaktiert. Solltet ihr ggf auch tun. Mein letzter (telefonischer) Kontakt zum Support war sehr freundlich. Ich glaube da reisst einem niemand den Kopf ab, auch wenn man evtl mal selber etwas nicht optimal umgesetzt hat (war so mein Eindruck).
Wichtig ist, den TS3-Server mit einer Config zu starten, und in der Config die IP des Servers einzutragen. Das beschriebene Phänomen tritt auf, wenn der TS3-Server auf alle IPs lauscht (0.0.0.0).
Da die beiden besagten Zeilen aber sehr kurz nach dem Ban kommen (innerhalb 0,7s) stelle ich mir die Frage, ob eventuell Laufzeiten oder Mehrfachverbindungen dafür verantwortlich sein könnten.
OK, hat jetzt von einem Tag zum anderen bei mir gefunzt. Habe mir den Link zum Forum in https mal im Firefox gespeichert.
Werde es mal testen.
Aber warum ist das Forum dann auf der Support-Seite als http verlinkt?
Hi,
hat jemand oder kennt jemand das Problem, das er sich hier im Forum ständig neu anmelden muss, obwohl bei Anmeldung der Haken für die dauerhafte ANmeldung gesetzt wird?
Ich habe jedenfalls das Problem.
Bei mir hat der Support geholfen.
Ich verfolge die letzten Antworten in diesem Beitrag mit Freude, und hoffe auf ein gutes Ergebnis, welches ich dann auch testen werde. Habe derzeit das gleiche Problem, was auch in einem anderen Beitrag kurz durchgekaut wurde. Ich muss meinen vServer eine ganze Weile (ca. 1 Stunde) abgeschaltet lassen, und mit komplett geschlossener Firewall starten (Input und Output auf globalen Drop und eine generelle Eingangsregel), damit der Server tatsächlich nicht von aussen erreichbar ist. Hab den Server so auch mal 24 Stunden laufen lassen, und er blieb dicht. Füge ich aber auch nur eine Regel ein, egal ob einer Freigabe für einen Port im Input oder einen Drop für eine IP im Input, dann geht die Firewall in beide Richtungen auf wie ein Scheunentor, so das er z.B. auf Port 22, 80, 8123, 10000 (sind Dienste die ich prüfen kann) Anfragen akzeptiert und beantwortet. In dem anderen Beitrag, in welchem ich das Problem geschildert habe, wurde ich auch auf die Informationen zu der Firewall und der WiKi hingewiesen, aber das hat mir nicht weiter geholfen. Ich soll noch den Support kontaktieren, was ich aber erst machen möchte wenn ich genau weiß was wann passiert. Da ich jedesmal zum Testen eine ganze Weile warten muss, wird der Kontakt zum Support noch ein wenig warten müssen.
Also ich bekomme es einfach nicht hin!
Hatte, nach einer langen Off-Zeit des Servers, Input UND Output der Firewall auf generelles Drop gestellt, ALLE Rules gelöscht, und den Server neu gestartet - danach war die Firewall zu.
Dann Output wieder auf generellen Accept gestellt - die Firewall war immer noch zu.
Beim Input wie in der WiKi beschrieben 2 Rules erstellt (generellen Accept mit State = Established, Related und SSH-Port) - ich konnte per SSH auf den Server, der Rest blieb zu.
Doch dann kam nach ca 30 Minuten fail2ban und hat mir (mit dem Script von SIM) eine Rule in die Firewall geschrieben - Da war plötzlich ALLES wieder offen.
Bekomme jetzt die Firewall nicht mehr zu. Selbst wenn ich Input UND Output auf generelles Drop stelle und ALLE Rules lösche, die Firewall bleibt offen. Auch wenn ich den Server neu starte.
Wenn alles auf generellem Drop steht und keine Rule eingetragen ist, dann muss die Firewall doch zu sein, oder? Habe ich etwas nicht korrekt verstanden?
Aktuell habe ich angefügte Einstellungen, welche aber auch nicht funktionieren (immer alles offen).
Also wie geschrieben lag die Auslastung bisher mit all den Diensten unter 0.4 und geht nun auf mehr als das 10fache. Dies soll nur davon kommen, das jemand mit einem Dictionary-Angriff alle paar Sekunden einen Login-Versuch macht? Kann ich mir nicht vorstellen. Bei einem wirklichen "Hammering" bei dem zig Anfragen pro Sekunde eingehen würde ich die These unterstützen, aber in diesem Fall irgendwie nicht.
Also auch die neue Einstellung hilft nicht
Der "Angreifer" (oberster Drop in FW) kommt weiter durch, wie ALLE anderen Dienste auch. Die 2te Regel kann ich auch ruhig löschen oder verschieben ... keine Änderung.
Server wieder runtergefahren.
Also ich muss nochmal einen fast alten Beitrag wieder rauskramen und ramstein Recht geben ..... was nützt eine Firewall, wenn diese nicht richtig schützt. Es kann doch nicht sein das ich nach dem Einfügen einer Regel immer kontrollieren muss ob noch alle Regeln funktionieren! Habe jetzt das Problem, das meine Firewall mit begefügten Einstellungen ALLES durchlässt. Habe nun Stunden herumprobiert mit unterschiedlichen Einstellungen, nichts hat geholfen. War gezwungen den Server runterzufahren, da im Moment jemand fleissig versucht sich in pop3d einzuloggen, obwohl seine IP gesperrt wurde (erster Eintrag in FW).
Kann sich mal bitte jemand die Einstellungen der FW auf dem Bild anschauen?
Ich habe ALLES auf DROP gestellt, trotzdem kommt ALLES durch. Hatte mal das Problem das zumindest 1 Regel auf ACCEPT stehen muss, damit die FW greift, und dann einen Port wieder freigegeben, aber auch das hilft diesmal nicht.
Wo ist der Fehler?
*** EDIT ***
Boah, bin ich gefrustet. Geh jetzt nach ca. 3,5 Stunden erfolgloser Versuche erst einmal pennen (mit abgeschaltetem Server).
Hallo,
ich musste heute feststellen, das von meinem vServer der LoadAverage steil nach oben geht, sobald ich etwas starte. Auf dem Server läuft ispCP mit einer (1) HP, TeamSpeak3 und Minecraft. Der LoadAverage lag in der Verganheit immer unter 0.4. Nun geht er immer über 2.00 sobald ich TS3 oder Minecraft starte. Wenn ich beides starte, dann teilweise sogar über 4.0! Das Einzige was ich finden konnte, waren ewige Login-Versuche über POP3 immer von derselben IP, welche ich nicht über die Friewall gesperrt bekomme (warum auch immer).
Hat jemand eine Idee oder einen Tipp?