Posts by Alex0815

    Sagmal, für was nutzt du denn den Server? Wie ich das rauslese nicht für Email oder ähnliches (da du es ja nicht zum laufen bekommst), also eigentlich nichts was du verlieren könntest ..


    Wieso schaltest du den denn nun nicht ab und machst es anständig? Alle Leute hier haben dir dazu geraten, aber das scheinst du zu ignorieren.



    Ganz ehrlich gesagt: Da du - wie du indirekt schreibst - mit Linux nichts zutun hast und auch nicht weißt was passiert, ist es mit einem reinen "ich ändere das Passwort und lösche auf Verdacht irgendein Script" bei weitem nicht getan. Du bist für deinen Server verantwortlich und andere Leute könnten dich zur Rechenschaft ziehen, wenn du - trotz des Wissens über das Problem - weiter damit fortfährst und somit wissentlich andere Server angreifst - deine IP ist für die anderen sichtbar und du hast somit das Problem am Hals!



    Tipp: Hol dir was managed und lass es, sorry, aber ich glaube nur gute Tipps kommen hier bei dir nicht an.

    Ich gehe mal nicht von aus, dass du in Russland wohnst oder einen Proxy/Tor aus Russland nutzt ..und China wohl auch nicht ..


    IP : 94.50.2.175
    Host : ?
    Land : Russische Föderation


    IP : 58.218.199.182
    Host : ?
    Land : China



    Ich persönlich würde den Server - wie bereits hier geschrieben - ausschalten und nur noch im RecoveryModus starten, um von dort aus einem gesicherten System alles zu analysieren. Ich denke mal der Admin User ist definitiv vom Angreifer angelegt worden, jedoch auch wenn du den nun deaktivierst - die Lücke ist u.U. nach wie vor da.


    Gruß
    Alex

    Hey Marcoo,


    danke für deine Antwort. Ob es Einschränkungen seitens KVM gibt, hatte ich netcup gefragt, zusammen mit all diesen Erkenntnissen aus meinem Post hier. Leider wurde mir hierbei nicht geholfen, habe nur einen Textbaustein bekommen mit dem Inhalt, es wäre mein System, mein Problem.


    Nachdem ich auch nach vielem weiteren Suchen auch nicht auf die Spur einer Idee gekommen bin, habe ich nochmal von 0 angefangen und installiere gerade nochmal alles so wie vorher, mit dem Unterschied mir nun zwischen den einzelnen Installationen (apache, mysql etc) einen Tag Pause zu machen und bevor ich weiter mache einen Snapshot zu erstellen.


    Akut ist es noch Stabil, bin aber noch nicht komplett fertig, dauert jetzt noch ein bisschen.


    Grüße
    Alex

    Hallo zusammen,


    ich habe mit frisch Debian Jessie Minimal installiert und dort nun meinen Server hochgezogen. Ich laufe jetzt aber gegen ein Problem, dass mir ständig die Prozesse von irgendwoher gekillt werden, ohne das ich herausfinden könnte woher ..


    Beispiel MySQL Server: Dieser läuft keine 2 Stunden durch. Ich hab jetzt auch schon das systemd-Logging auf debug gestellt, nur um aber herauszufinden, dass es nicht dadurch passiert ..

    Code
    1. # systemctl status mysql
    2. ● mysql.service - LSB: Start and stop the mysql database server daemon
    3. Loaded: loaded (/etc/init.d/mysql)
    4. Active: active (exited) since Mo 2016-12-05 10:46:58 CET; 3h 38min ago


    Schau ich nun ins mysql error.log, sehe ich folgendes:

    Code
    1. 161205 11:55:06 [Note] /usr/sbin/mysqld: Normal shutdown161205 11:55:06 [Note] Event Scheduler: Purging the queue. 0 events161205 11:55:08 [Warning] /usr/sbin/mysqld: Forcing close of thread 110 user: 'mailuser'161205 11:55:08 InnoDB: Starting shutdown...161205 11:55:10 InnoDB: Shutdown completed; log sequence number 2062692161205 11:55:10 [Note] /usr/sbin/mysqld: Shutdown complete161205 11:55:10 mysqld_safe mysqld from pid file /var/run/mysqld/mysqld.pid ended



    (Hinweis: Auch wenn ich mit kill PIDMYSQL den Server abschieße, im Logfile steht "Normal shutdown")


    Jedoch sagt mir mein syslog, dass der systemd "unschuldig" ist und er es auch nur zufällig entdeckt..

    Code
    1. Dec 5 11:55:10 ina systemd[1]: Received SIGCHLD from PID 7720 (mysqld_safe).Dec 5 11:55:10 ina systemd[1]: Child 7720 (mysqld_safe) died (code=exited, status=0/SUCCESS)Dec 5 11:55:10 ina systemd[1]: Child 7720 belongs to mysql.serviceDec 5 11:55:10 ina systemd[1]: mysql.service: cgroup is emptyDec 5 11:55:10 ina systemd[1]: mysql.service changed running -> exited


    Sonst finde ich im syslog oder kernel.log gar nichts, nichts was darauf hinweisen würde, dass der kernel z.B. wegen memory den process abschießt. Ich habe alle Logs durchgeschaut in /var/log und finde sonst zu der Zeit nichts ..

    Weiß jemand was das sein kann? Es passiert auch mitm apache und anderen Diensten, die plötzlich nicht mehr da sind. Gibt es von der KVM Visualisierungsschicht irgendwelche Limits und Regularieren? Wie könnt ich die abfragen? Ansonsten ist der Server überhaupt nicht ausgelastet, da ich noch beim Installieren bin ..

    Code
    1. # uptime 14:31:19 up 16:03, 1 user, load average: 0,00, 0,01, 0,05# free -m total used free shared buffers cachedMem: 3020 736 2284 47 26 325-/+ buffers/cache: 384 2636Swap: 3899 5 3894






    Weiß jemand Rat?



    Danke
    Alex