Posts by fkrone

    Erstmal: Ja, auch hier dauert es bis zu 48 Stunden, bis der geänderte Eintrag um die Welt gegangen ist.


    Und rDNS hat nichts damit zu tun, dass du weiterhin über die yourserver.net-Domain auf deinen Server kommt. rDNS ist lediglich die Zuordnung einer Domain zu einer IP, d.h. welche Domain gehört zu einer bestimmten IP (Im Gegensatz zu DNS: welche IP gehört zu welcher Domain).

    Melde mich ebenfalls betroffen. Sind bei Kabel BW (Unitymedia). Zum Glück habe ich meinen Rechner heute Nacht nur schlafen gelegt, daher habe ich noch ein paar Traces. Die sind etwa zwischen 1:20 Uhr und 2:00 Uhr entstanden:





    Habe noch ein paar weitere Traces gemacht, auch 1-2 IPv6 Traces, falls benötigt. Bei IPv6 war an

    Code
    1. gw-decix.ffm.netcup.de


    Schluss.

    Ich denke, dass kaum einer dir helfen kann bei der schwammigen Problembeschreibung. Linux ist nicht Linux. Es gibt verschiedene Distributionen etc.
    Mein Tipp ist: Fahre den Server am besten so lange herunter, bis der, der den Server warten soll wieder da ist. Ein ungesicherter Server im Internet ist immer ein potentielles Ziel um es zu einer Spam-, Viren- und sonstige Schleuder zu verwandeln.

    Danke an Netcup. Solche Aktionen sind nicht unbedingt üblich und zeigt mir, dass man die Kunden nicht aus den Augen verliert. Ich habe mich schon den ganzen Tag auf Arbeit auf das Paket gefreut und konnte es kaum erwarten nach Hause zu kommen.
    Ich freue mich auf jeden Fall auf ein hoffentlich gutes Jahr 2014 mit Netcup.

    Hier geht es ebenfalls wieder. Kann sein, dass unsere vServer auf dem gleichen System sind ;)

    Ich bin momentan gerade von so einem ähnlichen Problem betroffen.
    Seit ca 18:26 Uhr ist mein Server nicht erreichbar. Der Server sollte rennen (im VCP ist dieser aber nicht erreichbar). Bei Ping-Versuchen war der Server sehr sporadisch mit einer Ping-Zeit von 1,3 Sekunden (im Vergleich zu 20-30 ms normalerweise) kurz da. Vor ein paar Tagen trat dieses Problem ebenfalls für eine kurze Zeit auf. Was genau da abgeht weiß ich nicht, wäre aber nett, wenn das behoben werden könnte.
    Warum ich das ganze hier schildere? Weil in der Vergangenheit es ebenfalls dies ein paar mal passiert ist, der Support mir damals aber auch nicht weiterhelfen konnte.


    Traceroute auf meinen Server (Auszug, der Netcup betreffend ist):

    Code
    1. 7 18 ms 18 ms 19 ms gw**-corebackbone.netcup.net [80.255.***]
    2. 8 * 18 ms * gw**-corebackbone.netcup.net [80.255.***]
    3. 9 * * * Zeitüberschreitung der Anforderung.
    4. 10 * * * Zeitüberschreitung der Anforderung.
    5. 11 * * * Zeitüberschreitung der Anforderung.
    6. 12 * * * Zeitüberschreitung der Anforderung.
    7. 13 * * * Zeitüberschreitung der Anforderung.
    8. 14 * * * Zeitüberschreitung der Anforderung.
    9. 15 * * * Zeitüberschreitung der Anforderung.

    Ich bin nicht betroffen, da ich schon migriert habe und erst in der Weihnachtsaktion mit damals den vServer angemietet habe, dennoch kann ich einige hier verstehen, die betroffen und aufgebracht sind.
    Meiner Meinung nach ist für manche eventuell ein Hindernis, dass ihnen angeboten wird, auf einen KVM-Server zu wechseln, auf dem sie eventuell mehr zahlen müssen als bisher und mehr Leistung erhalten, die sie eventuell nicht benötigen. In diesem Falle wäre das schade. Daher fände ich es zumindest eine gute Idee, wenn betroffenen Kunden die Möglichkeit angeboten wird, auch auf ein preisgleiches oder preisähnliches Produkt zu wechseln. Zwar wäre dies gegen die bisherigen Bedingungen, dass nur auf ein gleichwertiges Produkt (z.B. Neptun -> Neptun KVM) migrieren kann, allerdings wäre dies auch ein Entgegenkommen zu den betroffenen Kunden.

    Hi definitiv,


    erst einmal ein großes Danke für deinen Leitfaden :) Dieser hat mir sehr geholfen, auch wenn ich was das Thema Linux betrifft nicht unbedingt auf den Kopf gefallen bin. Vor kurzem überprüfte ich meinen auth.log und stellte fest, dass auf meinem Server gerne Wörterbuchattacken auf den ssh-Port gefahren werden. Diese Angriffe werden leider nicht von fail2ban abgefangen. Da ich leider keinen gültigen Regex-Ausdruck hinbekomme wollte ich dich fragen, ob du dich auf dem Gebiet auskennst.Hier mal ein Auszug aus dem Log:

    Code
    1. Apr 8 18:25:07 sshd[5595]: input_userauth_request: invalid user root [preauth]Apr 8 18:25:07 sshd[5595]: Received disconnect from **: 11: Bye Bye [preauth]Apr 8 18:25:10 sshd[5597]: User root not allowed because account is lockedApr 8 18:25:10 sshd[5597]: input_userauth_request: invalid user root [preauth]Apr 8 18:25:11 sshd[5597]: Received disconnect from ***: 11: Bye Bye [preauth]Apr 8 18:25:15 sshd[5599]: Invalid user oracle from ***Apr 8 18:25:15 sshd[5599]: input_userauth_request: invalid user oracle [preauth]Apr 8 18:25:15 sshd[5599]: Received disconnect from ***: 11: Bye Bye [preauth]Apr 8 18:25:18 sshd[5601]: Invalid user oracle from ***



    MfG
    fkrone


    Edit: Ich habe es mit einer eigenen Regex in der filter.d/sshd.conf hinbekommen. Nun werden die Bots gebannt:

    Code
    1. ^%(__prefix_line)s.*+invalid user .* \[preauth\]\s*$