Ich hab das gleiche Problem mit Microsoft wie joergmschulz.
Wenn ich ein Ticket einreiche mit der Nachfrage wieso meine IP geblacklisted ist, kommt nur ein "Not qualified for mitigation".
Weiter als bis dahin bin ich allerdings auch noch nicht gekommen.
Alle anderen "großen" Anbieter laufen ohne Probleme nur Microsoft zickt. Wenn mir jemand einen Hinweis geben kann was ich da machen könnte immer her damit.
Beiträge von mightyBroccoli
-
-
Herzlichen Dank für die Info
Das wäre eine super Sache für das application hosting. Dann wird es wohl eine zusätzliche kleine vps für die Master Node.
-
Ich überlege schon länger meine Munin Master Node von meinem Server runter zu nehmen und habe an einen Webhosting Tarif gedacht.
Ist dies mit dem Webhosting Tarif möglich? -
Also mein Redis Status Report sieht folgendermaßen aus
random@rosewood ~ # systemctl status redis
● redis-server.service - Advanced key-value store
Loaded: loaded (/lib/systemd/system/redis-server.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2018-03-17 02:39:37 CET; 5 days ago
Docs: http://redis.io/documentation,
man:redis-server(1)
Main PID: 12793 (redis-server)
Tasks: 4 (limit: 4915)
CGroup: /system.slice/redis-server.service
└─12793 /usr/bin/redis-server 127.0.0.1:6379
Mär 17 02:39:37 rosewood systemd[1]: Stopped Advanced key-value store.
Mär 17 02:39:37 rosewood systemd[1]: Starting Advanced key-value store...
Mär 17 02:39:37 rosewood systemd[1]: redis-server.service: PID file /var/run/redis/redis-server
Mär 17 02:39:37 rosewood systemd[1]: Started Advanced key-value store.
Allerdings sieht mein service file bedeutend anders aus.
[Unit]
Description=Advanced key-value store
After=network.target
Documentation=http://redis.io/documentation, man:redis-server(1)
[Service]
Type=forking
ExecStart=/usr/bin/redis-server /etc/redis/redis.conf
ExecStop=/bin/kill -s TERM $MAINPID
PIDFile=/var/run/redis/redis-server.pid
TimeoutStopSec=0
Restart=always
User=redis
Group=redis
RuntimeDirectory=redis
RuntimeDirectoryMode=2755
UMask=007
PrivateTmp=yes
LimitNOFILE=65535
PrivateDevices=yes
ProtectHome=yes
ReadOnlyDirectories=/
ReadWriteDirectories=-/var/lib/redis
ReadWriteDirectories=-/var/log/redis
ReadWriteDirectories=-/var/run/redis
NoNewPrivileges=true
CapabilityBoundingSet=CAP_SETGID CAP_SETUID CAP_SYS_RESOURCE
MemoryDenyWriteExecute=true
ProtectKernelModules=true
ProtectKernelTunables=true
ProtectControlGroups=true
RestrictRealtime=true
RestrictNamespaces=true
RestrictAddressFamilies=AF_INET AF_INET6 AF_UNIX
# redis-server can write to its own config file when in cluster mode so we
# permit writing there by default. If you are not using this feature, it is
# recommended that you replace the following lines with "ProtectSystem=full".
ProtectSystem=true
ReadWriteDirectories=-/etc/redis
[Install]
WantedBy=multi-user.target
Alias=redis.service
Ich denke das vor allem das Problem mit den nicht beständigen readwrite permissions durch das Service file von mit geregelt werden. Schau dir das Service file an und verändere es je nach Ordner bzw Prozess Priotiät und dann sollte vieles deutlich einfacher gehen.
Ich frage mich auch wieso /usr/local/bin/redis-server verwendet wird und nicht der klassische unter /usr/bin/redis-server? Hast du redis selbst compiliert?
-
Ich hab in meiner Instanz nur zur Sicherheit auch nochmal nachgesehen und ich verwende genau diese Konfiguration wie von Ihnen gewünscht. APCu für memcache.local und redis für memcache.locking dafür verwende ich diese config.
Code'filelocking.enabled' => 'true', 'memcache.local' => '\\OC\\Memcache\\APCu', 'memcache.locking' => '\\OC\\Memcache\\Redis', 'redis' => array ( 'host' => '/var/run/redis/redis-server.sock', 'dbindex' => 1, 'port' => 0, 'timeout' => 0.0, ),
Eventuell könnte der Fehler sein das in deiner config'memcache.local' => '\OCMemcache\APCu',verwendet wurde statt 'memcache.local' => '\OC\Memcache\APCu',allerdings mag es sein das Ihnen dieser Fehler bereits aufgefallen ist. Daher wäre meine zweite Vermutung das der Webuser nicht die korrekten Rechte hat einen Socket unter /tmp/redis.sock anzusprechen.
-
ThomasChr ist das ein RS 1000 mit SSD?
Ich bin echt total verwirrt, da ich eine kleine private Cloud damit hoste und schon kleine Bilder höheren iowait erzeugen. -
Ich habe die Vermutung das bei mir etwas ganz schief läuft. Ausgeführt wurde der Befehl auf einem RS 2000 SAS G7 SE 12M mit dem folgenden Befehl.
fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test --filename=test --bs=4k --iodepth=64 --size=4G --readwrite=randrw --rwmixread=75Code
Alles anzeigentest: (g=0): rw=randrw, bs=4K-4K/4K-4K/4K-4K, ioengine=libaio, iodepth=64 fio-2.16 Starting 1 process test: Laying out IO file(s) (1 file(s) / 4096MB) Jobs: 1 (f=1): [m(1)] [100.0% done] [1720KB/572KB/0KB /s] [430/143/0 iops] [eta 00m:01s] test: (groupid=0, jobs=1): err= 0: pid=18449: Mon Jan 15 14:50:38 2018 read : io=3070.4MB, bw=807799B/s, iops=197, runt=3985446msec write: io=1025.8MB, bw=269863B/s, iops=65, runt=3985446msec cpu : usr=0.20%, sys=0.75%, ctx=580407, majf=0, minf=7 IO depths : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0% submit : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0% complete : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.1%, >=64=0.0% issued : total=r=785996/w=262580/d=0, short=r=0/w=0/d=0, drop=r=0/w=0/d=0 latency : target=0, window=0, percentile=100.00%, depth=64 Run status group 0 (all jobs): READ: io=3070.4MB, aggrb=788KB/s, minb=788KB/s, maxb=788KB/s, mint=3985446msec, maxt=3985446msec WRITE: io=1025.8MB, aggrb=263KB/s, minb=263KB/s, maxb=263KB/s, mint=3985446msec, maxt=3985446msec Disk stats (read/write): sda: ios=790554/301870, merge=2027/32044, ticks=164900180/63189604, in_queue=228096188, util=100.00%
Insgesamt hat der Spaß etwas über 30 Minuten gebraucht. Kein Wunder da im Schnitt auch bloß 65 iops write drin waren. Was ist das los netcup ?
-
-
Hallo,
ich hoste auf einem RS 2000 SAS G7SEa1 12M einige statische Websiten sowie einige php Websiten, dazu noch eine Nextcloud einen Teamspeak und einen Prosody mit ~ 50 Usern.
Das System ist stabli bei einem load average von 0,57 zu Spitzenzeiten 0,9 wenn die php seiten ordentlich verwendet werden.
Leider habe ich seit einige Wochen bemerkt das ich bei kleinen file Bewegungen, zb download eines 200 mb zip über die cli und entpacken dieser direkt einen loadaverage von 10 habe und das ganze System total unter Stress steht.Sonst bin ich super zufrieden aber das Problem ist echt hartnäckig und ich weiß nicht woran es liegen könnte
CodeSystem Debian 9.1 Apache 2.4.25 php-fpm 7.0.20-1~dotdeb+8.1 nextcloud 12 latest- stable prosody 0.1
Grüße
mächtiger Kohl aka mightyBroccoli
-
Extrem praktisch für eine Nextcloud Installation ist eine Redis Instanz die das file locking übernimmt.
PHP'filelocking.enabled' => 'true', 'memcache.locking' => '\\OC\\Memcache\\Redis', 'redis' => array ( 'host' => '/var/run/redis/redis.sock', 'port' => 0, 'timeout' => 0.0, ),
Dazu dann noch ein Caching das vermutlich von deinem nginx übernommen wird um redundante Anfragen auf statische Dateien zu beschleunigen.
Dann sieht das erstmal ganz gut aus. -
RS 2000 SAS G7 SE 12M : Debian 9, TeamSpeak, Prosody XMPP, Spectrum2, Nextcloud, einige Websites, MariaDB
-
franc I just quote myself thats how i roll. Schau mal bei Abusemeldung erhalten
Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:
Für IPv6 mit:
Codeip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT ip6tables -A INPUT -p udp --dport 111 -j DROP
Für IPv4 mit:
Codeiptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT iptables -A INPUT -p udp --dport 111 -j DROP
Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.
Codeiptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT ip6tables -I INPUT -p tcp -s ::xyz —dport 111 -j ACCEPT
Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.
-
Hallo,
ich habe mir aus Anlass einige Skripte geschrieben die mir die Administration enorm vereinfachen, diese würde ich hier gerne vorstellen. Falls jemand Verwendung dafür hat klasse, falls Anregungen oä. entstehen sogar noch besser.
teamspeak_log_daily_mail
Die Idee ist das Moderatoren/ Admins selbst in kleineren Umgebungen, auf dem TS nicht immer zur Verfügung stehen. Das Skript schafft in dem Sinne Abhilfe da alle wichtigeren Dinge des Vortages leicht und übersichtlich dargestellt werden und an die Email Adresse der Wahl versendet werden kann.
Dabei sortiert das Skript die Ereignisse so, dass Sektionen gebildet werden, Kick Nachrichten bei Kick Nachrichten usw. In der Repo ist auch einmal anschaulich abgebildet wie eine solche Email aussehen könnte.
Die Installation ist super einfach mit cron oder anacron zu machen. Weitere Infos in der Repo mightyBroccoli/logwatch-scripts
teamspeak_log_xmpp_push
Die Idee zu diesem Skript ist mir klar geworden als Moderatoren auf meinem Teamspeak eine Lücke im Rechte System gefunden hatten und wild anfingen Dinge zu ändern /löschen oä.. Folglich eine gar nicht mal so geile Situation. Die Log Email hätte und hat mir alle diese Aktionen geliefert, allerdings erst am nächsten Tag, wenn ich morgens in meine Emails geschaut hätte.Daher musste ein Instant Messenger Notification Skript her. Dieses Skript funktioniert essentiell sehr ähnlich wie die tägliche LogMail. Es ist allerdings so designed das es theoretisch alle 15 Sekunden laufen könnte ohne das man ständig die gleichen Nachrichten bekommt. Durch eine history werden nur neue Ereignisse gesendet.
Benötigt wird dafür auch keine eigener XMPP Server sondern bloß Zugangsdaten zu einem bestehenden Konto das auf einem x-beliebigen Server erstellt wurde als Sender und natürlich auch ein Empfänger Konto.
Die Installation ist super einfach mit cron oder anacron zu machen. Weitere Infos in der Repo mightyBroccoli/logwatch-scripts
Über Rückmeldung würde ich mich freuen. Für Probleme wäre es toll wenn ein Issue in der Repo erstellt würde.
Bei Fragen stehe ich natürlich gerne zur Verfügung.
-
Allerdings geht es in diesem Thread speziell um den rpcbind port 111 tcp/udp und für die Leute die die abuse mail erst vor kurzem bekommen haben ist dort der genau Zeitpunkt und die verwendete IP Adresse in der Mail genannt.
Zitat von abuse MailNetcup hat damit dann aber nichts am Hut. Es gibt wie von Felix weiter oben in diesem Thread beschrieben wie gesagt gute Gründe den Port offen zu haben. Netcup kann nicht einfach hingehen und Port schließen das ist Sache der Kunden.
-
in der Zukunft auch ein Teil des Logs mitgeschickt wird, in dem Informationen zu den IP-Adressen stehen, die der CERT-Bund geprüft hat. Auch hier gilt, IP-Adressen die andere Kunden betreffen, werden geschwärzt.
@Alessandro99 den Port des rpcbind zu ändern wäre nicht der richtige Ansatz. Das Funktioniert bei ssh bots die wahllos die Weiten des Internets mapen und nach Zugängen suchen aber bei so was klappt das nicht so wirklich gut.
Zum zweiten einige haben diese Mail bekommen. Es handelt sich dabei nicht um einen Angriff, sondern bloß um eine Benachrichtigung das, in diesem Fall der BSI, in der Lage war von Außen auf den rpcbind einzuwirken, wie auch immer. Netcup hat hier gar nichts mit am Hut, du bestellst dein Produkt und dann bist du dafür zuständig Netcup hat seinen Dienst damit getan das die Benachrichtigung weitergeleitet wurde und du als Besitzer das bemerkst.
[netcup] Felix P. Ich hoffe das war so richtig. Sonst Schande über mein Haupt. -
Ich hab bei mir auf der Firewall die Regel in der Form eingetragen:
Für IPv6 mit:
Codeip6tables -I INPUT -p tcp -s ::1 --dport 111 -j ACCEPT ip6tables -A INPUT -p tcp -m tcp --dport 111 -j REJECT ip6tables -A INPUT -p udp --dport 111 -j DROP
Für IPv4 mit:
Codeiptables -I INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 111 -j REJECT iptables -A INPUT -p udp --dport 111 -j DROP
Um eine NFS Share hinzuzufügen müsste die Adresse dann jeweils mit ihrer ipv4 / ipv6 Adresse freigeschaltet werden.
Codeiptables -I INPUT -p tcp -s aaa.bbb.ccc.ddd —dport 111 -j ACCEPT ip6tables -I INPUT -p tcp -s ::xyz —dport 111 -j ACCEPT
Wichtig ist dabei nur das die Regel mit -I eingetragen wird damit das Packet nicht frühzeitig verworfen wird.
-
Hi toemsel1,
also an sich ist der SRV Eintrag richtig vom Aufbau her. Ich weiß nicht ob der eingetragene Port auch stimmt, da beide Adressen bei mit in einem timeout enden.
Hier mal die Docu von Teamspeak selbst zu ihren SRV Einträgen.Unterstützt TeamSpeak 3 DNS SRV records?
Grüße
mB
-
Du könntest Dir einen kleineren SSD-Server holen und die restlichen Nutzdaten hier auslagern: netcup.de - Storagespace für vServer / Root-Server
Soweit ich das verstanden habe, ist der zusätzliche Storage den man buchen kann aus einem SAS Storage System. Ich denke aber das ein auslagern auf ein zweites System dann etwas zu viel wird. Sonst könnte ich direkt den DB Server komplett auslagern und auf einem separaten DB Server hosten. Insgeheim ist das auch mein Ziel für Ende des Jahres aber im Moment habe ich dafür keine Zeit.
-
Hol dir doch einfach einen reinen SSD Server haste generell mehr Spaß.
Das stimmt ich denke wenn es an der Zeit ist den Server wieder zu vergrößern dann werde ich auch auf ein SSD System wechseln. Hoher IO Wait ist echt gar nicht mal so praktisch.
die schnellste Möglichkeit wäre wohl, einen NetApp NFS Storage zu buchen und darauf von einem reinen SSD Server aus zuzugreifen; die Mysql Trickkiste sollte Caching Möglichkeiten vorrätig haben, oder?
Ich denke nicht das ich meine Datenbanken auslagern werde womöglich noch zu einem anderen Hoster. Dann reduziere ich lieber die Datenbank Last und finde mich damit ab bis ich auf ein SSD System wechsle.
-
Zitat
Das hinzu buchen von weiteren Komponenten wie zum Beispiel einer weiteren Festplatte ist leider nicht möglich.
Wir bitten hier um Verständnis.Damit ist die Frage wohl beantwortet. Leider etwas schade aber naja wenn es nicht geht gehts halt nicht.
danke für die netten Antworten hier