Beiträge von eNBeWe

Nur so als Hinweis: Ich bin mir nicht sicher, wie netcup das gelöst hat, aber eigentlich muss am Ende des Eintrags ein . stehen, damit die Domain "absolut" verwendet wird. Ohne Punkt am Ende ist normalerweise eine Subdomain der Zone.

Ich wollte eher darauf hinaus, dass jemand deinen Server gehackt hat und jetzt damit böse Dinge (TM) anstellt. Zum Beispiel versuchen per Bruteforce die Passwörter von anderen Rechnern zu erraten.

Meine spontane Meinung:
Das sieht nicht gut aus. Server komprimittiert und jetzt macht der SSH-Angriffe?
Mal lsof - i gemacht und was auffälliges gesehen?

Ja, aber auf der Seite von netcup kannst du nix machen.
Die Domain zeigt ja korrekt auf den Server von dot.tk.
Sofern es auf Seite von dot.tk keine Möglichkeit gibt, diese zusätzliche Domain anzumelden, kannst du nicht wirklich viel machen.

Begründung:
Auf dem Server liegen ja vermutlich diverse Webseiten. Der Browser schickt aber den Namen mit, den er haben möchte. Danach schaut dann der Webserver in seiner Datenbank nach und liefert die korrekte Webseite an den Besucher aus. Wenn jetzt einfach eine "neue" Domain auf den Server zeigt, hat der natürlich keine Ahnung welche der vielen Seiten er ausliefern soll.

URL records sind kein Standard.
DNS macht nichts anderes als Namen zu IP-Adressen übersetzen.
Wenn du einen CNAME record erstellst, wird die Domain zwar auf den Webserver geleitet, aber der hat keine Ahnung was er damit anfangen soll.

Zusätzlich zu dem CNAME musst du auch noch bei einem Hoster einstellen, dass du die neue Domain zusätzlich verwenden willst.

Zitat von twiddern

Mit so einer kleinen Maschine könnte man sich auch ein simples Monitoring bauen.

Zitat von fuerni

Da nun schon öfter das Stichwort Monitoring gefallen ist, und das auch mein erster Gedanke war:
Welche Tools würdet ihr hierfür empfehlen, die auch mit diesen knappen Ressourcen klarkommen würden?

Habe vor, mir einen VPS20 dafür zu holen.

Zitat von fuerni

Ein paar (max. 10) Linux-Server mit Webserver, MySQL, Mailserver - mit Mail-Alert bei Ausfall. Also genaue Auslastung ist für mich derzeit noch nicht wichtig, sondern nur ob alles läuft.

Ich habe jetzt mal angefangen ein bisschen mit Monitoring auf nem VPS10 rumzuspielen.
Mein aktuelles Setup: Debian Jessie (leicht abgespeckt) + MariaDB + zabbix-server + nginx + php-fpm + zabbix-frontend

Das Setup "läuft", aber der Server hat schon Probleme damit, sich selber zu monitoren. Ich habe konstant eine Warnung über Platten-I/O, da der Server so massiv am swappen ist. Auch habe ich zur Zeit kein Mail-System installiert, das auch noch Systemlast erzeugen würde.
Es gibt noch ein paar kleine Stellschrauben, primär SQLite statt MariaDB. Vermutlich wäre aber ein etwas größerer Server eher sinnvoll. Im nächsten Schritt werde ich wohl mal das ganze mit einem VPS20 versuchen.

Zunächst mal eine Vorbemerkung (ähnlich zu dem Hinweis von Exiver):
Du solltest dir wirklich sicher sein, dass du wirklich selber einen Server betreuen möchtest. Du bist persönlich dafür verantwortlich, dass da nichts böses mit passiert. Wenn du nicht regelmäßig auf den aufpasst, macht dir ganz schnell jemand die Kiste auf und verschickt dann z.B. Spam-Mails von dem Server aus, macht DoS-Angriffe oder ähnliches. Das kann dann ziemlich unangenehm für dich werden.

Zum Problem:
Der Großteil der Festplatte ist nicht eingerichtet. Entweder du bindest die nachträglich ein (könnte nen bisschen aufwändiger werden ohne Vorwissen), oder du installierst das Image nochmal neu und wählst da "Gesamte Festplatte verwenden" aus.

Okay, dann ist vermutlich die restliche Festplatte einfach ungenutzt.
Bitte einmal auf der Konsole

df -h

ausführen und das gesamte Resultat hier posten.

Wie hast du denn den Server installiert?
Es sieht so aus, als ob das Linux nur eine minimale Partition bekommen hat. Der Rest scheint von einer alten Windows-Installation oder anderen früheren Experimenten belegt zu sein.
- Welches Linux hast du installiert? (Ubuntu / Debian / ...)
- Wie hast du das eingerichtet? (Von CD / Image / ...)
- Was hast du bei der Einrichtung bei der Frage nach der Partitionierung ausgewählt?

Zumindest die Datenbank braucht ja nicht einfach global erreichbar sein. Da würde es "reichen" wenn du die per IPv6 konfigurierst. Da kannst du dich in deinem eigenen /64 netz fröhlich austoben.
Für den Webserver müsstest du entweder eine eigene Erreichbarkeit herstellen (zusätzliche v4 Adresse) oder du verwendest auf dem Hypervisor z.B. einen Reverse Proxy.

EDIT: Falls du selber IPv6 verwenden kannst, könntest du vielleicht auch die IPv4 Adresse direkt an die Webserver-VM verteilen und den Hypervisor nur per IPv6 konfigurieren.

Wie hast du die Änderungen an der Konfiguration übernommen? (reboot, /etc/inet.d/.., systemctl)
16.04 läuft auf systemd, vielleicht läuft da was unrund bei dir?

Zu 1 und 2 können die Profis hier im Forum bestimmt mehr sagen, als ich.
Zu 3: Ja, für den Server hast du eine v4 Adresse und ein /64 v6 Präfix.
Zu 4: ja

Server 1: Nginx, Gitlab, Nextcloud, Mail, MariaDB, XMPP, VPN, DNS
Server 2: Secondary DNS, Backups, Replikation von 1
Server 3: (wird abgeschaltet) Minecraft
Server 4,5,6: VPS 10,20,50 ... Spielplatz

Zitat von jamesbond

Ansonsten: Bei mir laufen Tiny Tiny RSS und Owncloud.

Gut dass du das erwähnst, das wollte ich mir eigentlich auch noch mal anschauen.

Hast du vielleicht dein Home verschlüsselt und der SSHD ist nicht in der Lage die authorized_keys deines Benutzers zu lesen?

Moin,

grundsätzlich lässt sich sowas mit OpenVPN regeln. Den Tunnel müsstest du vermutlich in deinem Rechner einrichten, fritzbox kann noch kein openvpn.

Soweit ich weiß kann man aber auch noch v4 bei unitymedia bekommen, wenn man bei der Hotline anruft.

Zitat von Homy

SPF habe ich nun auf allen Domain auf "v=spf1 a mx ~all" geändert. Trotzdem kommen hier weitere zurückgegangene Spammails an. Aber scheinbar kann man hier nichts weiter machen.

Mit "~all" hast du noch recht sanftes SPF aktiviert. Das bedeutet, dass die gefälschten Mails eher als Spam markiert werden. Du könntest noch "-all" statt dessen setzen.
Zusätzlich ist SPF immer an DNS gebunden und benötigt ein bisschen Zeit, bis das alles global aktiv ist.

Zitat

Ich möchte aber auch nicht das meine Domain bzw. IP auf jeder Blocklist auftaucht.

Deine Domain sollte davon nicht betroffen sein. Du kannst da ja nix für. Du bekommst nur die fehlerhaften Rückläufer ab.

Ah, das klingt gut. Ich hatte immer nur nach den ISOs gesucht.

EDIT: Gerade gesehen, dass das ISO jetzt auch da ist. Vielen Dank

Das klingt ja ganz gut, aber bisher ist noch nichts fertig? Mein kleiner Server möchte endlich als secondary DNS eingerichtet werden

Genau, ausser SPF kann man da kaum was gegen machen. Grundsätzlich kann jeder einfach Mails mit beliebigen Absendern verschicken. SPF und DKIM sind teilweise Maßnahmen dagegen, können aber auch nicht alles verhindern.

Die Empfänger sollten aber auch nicht die Mails einfach zurückschicken, da gefälsche Absender nunmal die Regel sind. Das ist dann Backscatter und kann auch ganz schnell dazu führen, dass die Server auf Blacklists landen.

Wenn ich das jetzt gerade richtig sehe, dann stecken in den Kopfzeilen mehrere Gründe für Sorgen bei verschiedenen Leuten.

- Scheint aus einem php Script gefallen zu sein. Das deutet darauf hin, dass irgendwo ein Webformular missbraucht wird.
- Deine Domain scheint kein SPF Record zu haben. Das ist immer eine Gratwanderung: Entweder man erlaubt grundsätzlich etwas mehr, dann kann sowas vorkommen, oder man macht alles dicht, dann funktionieren plötzlich andere Dinge nicht mehr.
- Die Fehlermeldung ist als Backscatter bei dir angekommen. Das sagt eigentlich aus, dass der Mailserver von Empfänger nicht gut eingerichtet ist.

Ausser SPF betrifft das aber vermutlich alles andere Leute als dich.