Beiträge von LunaBytesBack

Mittlerweile ist nen Update draußen:
-> http://forum.teamspeak.com/thr…eased?p=434139#post434139

Erstmal: Ja, auch hier dauert es bis zu 48 Stunden, bis der geänderte Eintrag um die Welt gegangen ist.

Und rDNS hat nichts damit zu tun, dass du weiterhin über die yourserver.net-Domain auf deinen Server kommt. rDNS ist lediglich die Zuordnung einer Domain zu einer IP, d.h. welche Domain gehört zu einer bestimmten IP (Im Gegensatz zu DNS: welche IP gehört zu welcher Domain).

Melde mich ebenfalls betroffen. Sind bei Kabel BW (Unitymedia). Zum Glück habe ich meinen Rechner heute Nacht nur schlafen gelegt, daher habe ich noch ein paar Traces. Die sind etwa zwischen 1:20 Uhr und 2:00 Uhr entstanden:

traceroute to *** (46.38.***.***), 64 hops max, 52 byte packets
 1  fritz.box (192.168.1.1)  2608.766 ms  2.582 ms  4.195 ms
 2  10.127.128.1 (10.127.128.1)  17.392 ms  15.754 ms  18.823 ms
 3  172.30.1.245 (172.30.1.245)  30.831 ms  17.606 ms  20.783 ms
 4  84.116.191.85 (84.116.191.85)  39.310 ms  23.994 ms  16.452 ms
 5  84.116.191.2 (84.116.191.2)  26.553 ms  25.066 ms  17.331 ms
 6  84.116.132.161 (84.116.132.161)  51.628 ms
    84.116.132.193 (84.116.132.193)  27.861 ms
    84.116.132.169 (84.116.132.169)  26.635 ms
 7  de-fra01b-ri1-ae-0.aorta.net (84.116.134.6)  32.801 ms  20.013 ms  18.377 ms
 8  * * *
 9  * * *
10  * * *

traceroute to *** (46.38.***.***), 64 hops max, 52 byte packets
 1  fritz.box (192.168.1.1)  3.043 ms  3.586 ms  2.936 ms
 2  10.127.128.1 (10.127.128.1)  19.920 ms  25.211 ms  14.349 ms
 3  172.30.1.245 (172.30.1.245)  24.696 ms  26.869 ms  19.229 ms
 4  84.116.191.85 (84.116.191.85)  20.059 ms  18.882 ms  24.895 ms
 5  84.116.191.2 (84.116.191.2)  30.666 ms  32.102 ms  23.304 ms
 6  84.116.132.193 (84.116.132.193)  18.574 ms
    de-fra01a-ri2-xe-5-1-1.aorta.net (84.116.133.114)  39.531 ms
    84.116.132.161 (84.116.132.161)  19.025 ms
 7  hu-bud02a-ra4-xe-3-0-0.aorta.net (84.116.134.10)  19.484 ms  28.757 ms
    de-fra01b-ri1-ae-0.aorta.net (84.116.134.6)  21.276 ms
 8  * * *
 9  * * *

Habe noch ein paar weitere Traces gemacht, auch 1-2 IPv6 Traces, falls benötigt. Bei IPv6 war an

gw-decix.ffm.netcup.de

Schluss.

Ich denke, dass kaum einer dir helfen kann bei der schwammigen Problembeschreibung. Linux ist nicht Linux. Es gibt verschiedene Distributionen etc.
Mein Tipp ist: Fahre den Server am besten so lange herunter, bis der, der den Server warten soll wieder da ist. Ein ungesicherter Server im Internet ist immer ein potentielles Ziel um es zu einer Spam-, Viren- und sonstige Schleuder zu verwandeln.

Danke an Netcup. Solche Aktionen sind nicht unbedingt üblich und zeigt mir, dass man die Kunden nicht aus den Augen verliert. Ich habe mich schon den ganzen Tag auf Arbeit auf das Paket gefreut und konnte es kaum erwarten nach Hause zu kommen.
Ich freue mich auf jeden Fall auf ein hoffentlich gutes Jahr 2014 mit Netcup.

Zitat von theis

naja. lustigerweiße ist meiner jetzt wieder da.

Und als ich eben mal ein Ping gemacht habe. Ja ich weiß auf die Idee kam ich früh ...

hatte ich schon Antworten aber mit Ping Zeiten von 3442 ms


jetzt geht es wieder.

Alles anzeigen

Hier geht es ebenfalls wieder. Kann sein, dass unsere vServer auf dem gleichen System sind

Ich bin momentan gerade von so einem ähnlichen Problem betroffen.
Seit ca 18:26 Uhr ist mein Server nicht erreichbar. Der Server sollte rennen (im VCP ist dieser aber nicht erreichbar). Bei Ping-Versuchen war der Server sehr sporadisch mit einer Ping-Zeit von 1,3 Sekunden (im Vergleich zu 20-30 ms normalerweise) kurz da. Vor ein paar Tagen trat dieses Problem ebenfalls für eine kurze Zeit auf. Was genau da abgeht weiß ich nicht, wäre aber nett, wenn das behoben werden könnte.
Warum ich das ganze hier schildere? Weil in der Vergangenheit es ebenfalls dies ein paar mal passiert ist, der Support mir damals aber auch nicht weiterhelfen konnte.

Traceroute auf meinen Server (Auszug, der Netcup betreffend ist):

7 18 ms 18 ms 19 ms gw**-corebackbone.netcup.net [80.255.***]
 8 * 18 ms * gw**-corebackbone.netcup.net [80.255.***]
 9 * * * Zeitüberschreitung der Anforderung.
 10 * * * Zeitüberschreitung der Anforderung.
 11 * * * Zeitüberschreitung der Anforderung.
 12 * * * Zeitüberschreitung der Anforderung.
 13 * * * Zeitüberschreitung der Anforderung.
 14 * * * Zeitüberschreitung der Anforderung.
 15 * * * Zeitüberschreitung der Anforderung.

Ich bin nicht betroffen, da ich schon migriert habe und erst in der Weihnachtsaktion mit damals den vServer angemietet habe, dennoch kann ich einige hier verstehen, die betroffen und aufgebracht sind.
Meiner Meinung nach ist für manche eventuell ein Hindernis, dass ihnen angeboten wird, auf einen KVM-Server zu wechseln, auf dem sie eventuell mehr zahlen müssen als bisher und mehr Leistung erhalten, die sie eventuell nicht benötigen. In diesem Falle wäre das schade. Daher fände ich es zumindest eine gute Idee, wenn betroffenen Kunden die Möglichkeit angeboten wird, auch auf ein preisgleiches oder preisähnliches Produkt zu wechseln. Zwar wäre dies gegen die bisherigen Bedingungen, dass nur auf ein gleichwertiges Produkt (z.B. Neptun -> Neptun KVM) migrieren kann, allerdings wäre dies auch ein Entgegenkommen zu den betroffenen Kunden.

Hi definitiv,

erst einmal ein großes Danke für deinen Leitfaden Dieser hat mir sehr geholfen, auch wenn ich was das Thema Linux betrifft nicht unbedingt auf den Kopf gefallen bin. Vor kurzem überprüfte ich meinen auth.log und stellte fest, dass auf meinem Server gerne Wörterbuchattacken auf den ssh-Port gefahren werden. Diese Angriffe werden leider nicht von fail2ban abgefangen. Da ich leider keinen gültigen Regex-Ausdruck hinbekomme wollte ich dich fragen, ob du dich auf dem Gebiet auskennst.Hier mal ein Auszug aus dem Log:

Apr  8 18:25:07 sshd[5595]: input_userauth_request: invalid user root [preauth]Apr  8 18:25:07 sshd[5595]: Received disconnect from **: 11: Bye Bye [preauth]Apr  8 18:25:10 sshd[5597]: User root not allowed because account is lockedApr  8 18:25:10 sshd[5597]: input_userauth_request: invalid user root [preauth]Apr  8 18:25:11 sshd[5597]: Received disconnect from ***: 11: Bye Bye [preauth]Apr  8 18:25:15 sshd[5599]: Invalid user oracle from ***Apr  8 18:25:15 sshd[5599]: input_userauth_request: invalid user oracle [preauth]Apr  8 18:25:15 sshd[5599]: Received disconnect from ***: 11: Bye Bye [preauth]Apr  8 18:25:18 sshd[5601]: Invalid user oracle from ***

MfG
fkrone

Edit: Ich habe es mit einer eigenen Regex in der filter.d/sshd.conf hinbekommen. Nun werden die Bots gebannt:

^%(__prefix_line)s.*+invalid user .* \[preauth\]\s*$