Server nicht mehr erreichbar [Debian 12]
-
- Beiträge: 4
- Registriert: 29.12.2023 07:08:51
Server nicht mehr erreichbar [Debian 12]
Servus,
ich betreibe seit einigen Jahren meinen Mailserver selbst. Vor wenigen Monaten bin ich auf Mailcow (mit Nextcloud) umgestiegen und es lief 2 Monate einwandfrei.
(Die Frage bezieht sich nicht auf Mailcow).
Gestern Mittag musste ich feststellen, dass der Server nicht erreichbar ist (kein Ping, kein SSH --> nichts). Laut dem Status meines VPS-Anbieters war der Server zumindest
noch in Betrieb. Nach einem Neustart lief der Server wieder wie gewohnt. Wenige Stunden später wiederholte sich das Spiel.
Die journalctl zeigte immer nur die Logdateien seit dem letzten Boot. Ich habe sie vorhin auf "persistent" umstellt und habe aktuell zwei Terminals (journalctl -f und htop) laufen und hoffe
dort was mitzubekommen.
Ich bin aktuell total ahnungslos was dort passiert. Es wurden keine Update installiert oder sonst irgendwas geändert. Hat jemand vielleicht noch Tips was ich checken könnte? (ohne den Mailserver bin ich aufgeschmissen)
Danke und Grüße
ich betreibe seit einigen Jahren meinen Mailserver selbst. Vor wenigen Monaten bin ich auf Mailcow (mit Nextcloud) umgestiegen und es lief 2 Monate einwandfrei.
(Die Frage bezieht sich nicht auf Mailcow).
Gestern Mittag musste ich feststellen, dass der Server nicht erreichbar ist (kein Ping, kein SSH --> nichts). Laut dem Status meines VPS-Anbieters war der Server zumindest
noch in Betrieb. Nach einem Neustart lief der Server wieder wie gewohnt. Wenige Stunden später wiederholte sich das Spiel.
Die journalctl zeigte immer nur die Logdateien seit dem letzten Boot. Ich habe sie vorhin auf "persistent" umstellt und habe aktuell zwei Terminals (journalctl -f und htop) laufen und hoffe
dort was mitzubekommen.
Ich bin aktuell total ahnungslos was dort passiert. Es wurden keine Update installiert oder sonst irgendwas geändert. Hat jemand vielleicht noch Tips was ich checken könnte? (ohne den Mailserver bin ich aufgeschmissen)
Danke und Grüße
- whisper
- Beiträge: 3205
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Server nicht mehr erreichbar [Debian 12]
Wenn deine nextclood per web erreichbar ist, wäre eine infiltration per irgendeiner Lücke denkbar.
Oder andere Websoftware
Sofortmassnahme: maldet installieren
https://www.rfxn.com/projects/linux-malware-detect/
Das kann laufen, während du weiter nach den ursachen suchst,
Auch nach prozessen gucken die viel IO machen.
last root, lastb usw. mal angucken ist auch eine gute idee.
Webserver error.log kontrollieren, vor allem auch VOR dem ersten anormalen rebooot. user crontabs ansehen.
Hier mal meine Erfahrungen: https://zockertown.de/s9y/index.php?/ar ... alten.html
Oder andere Websoftware
Sofortmassnahme: maldet installieren
https://www.rfxn.com/projects/linux-malware-detect/
Das kann laufen, während du weiter nach den ursachen suchst,
Auch nach prozessen gucken die viel IO machen.
last root, lastb usw. mal angucken ist auch eine gute idee.
Webserver error.log kontrollieren, vor allem auch VOR dem ersten anormalen rebooot. user crontabs ansehen.
Hier mal meine Erfahrungen: https://zockertown.de/s9y/index.php?/ar ... alten.html
-
- Beiträge: 4
- Registriert: 29.12.2023 07:08:51
Re: Server nicht mehr erreichbar [Debian 12]
Danke für die schnelle Rückmeldung. An einen Angriff hatte ich natürlich auch gleich gedacht.
Die Logins (last) sind alle sauber. Die Versuche wurden über fail2ban alle verhindert. Die Crontab ist sauber.
Es gibt keine neuen User, die bashistory ist auch plausibel.
Maldet habe ich mal ausprobiert und da scheint auch alles in Ordnung zu sein. Über htop hatte ich auch
die IOs und die Prozesse im Blick. Da sieht eigentlich auch alles normal aus. Heute ist er bislang auch noch
erreichbar. Ich lasse das Monitoring mal den Tag über weiterlaufen und schaue was passiert.
Die Logins (last) sind alle sauber. Die Versuche wurden über fail2ban alle verhindert. Die Crontab ist sauber.
Es gibt keine neuen User, die bashistory ist auch plausibel.
Maldet habe ich mal ausprobiert und da scheint auch alles in Ordnung zu sein. Über htop hatte ich auch
die IOs und die Prozesse im Blick. Da sieht eigentlich auch alles normal aus. Heute ist er bislang auch noch
erreichbar. Ich lasse das Monitoring mal den Tag über weiterlaufen und schaue was passiert.
Re: Server nicht mehr erreichbar [Debian 12]
guck dir die Logfiles an.
-- nichts bewegt Sie wie ein GNU --
-
- Beiträge: 4
- Registriert: 29.12.2023 07:08:51
Re: Server nicht mehr erreichbar [Debian 12]
welche ? da ist leider nicht viel da....
Code: Alles auswählen
root@mail:/var/log# ls -la
total 264
drwxr-xr-x 6 root root 4096 Dec 29 06:57 .
drwxr-xr-x 11 root root 4096 Jul 12 11:37 ..
-rw-r--r-- 1 root root 184 Dec 29 08:11 alternatives.log
-rw-r--r-- 1 root root 3750 Oct 26 10:05 alternatives.log.1
drwxr-xr-x 2 root root 4096 Dec 29 08:11 apt
-rw-rw---- 1 root utmp 82177 Dec 29 09:25 btmp
-rw-rw---- 1 root utmp 1 Dec 29 07:05 btmp.1
-rw-r--r-- 1 root root 20296 Dec 29 08:11 dpkg.log
-rw-r--r-- 1 root root 4483 Nov 25 13:43 dpkg.log.1
-rw-r--r-- 1 root root 4804 Oct 26 11:54 dpkg.log.2.gz
-rw-r----- 1 root adm 43532 Dec 29 09:25 fail2ban.log
drwxr-sr-x+ 3 root systemd-journal 4096 Dec 29 06:49 journal
-rw-rw-r-- 1 root utmp 292292 Dec 29 09:27 lastlog
drwx------ 2 root root 4096 Oct 26 09:36 private
lrwxrwxrwx 1 root root 39 Oct 26 09:36 README -> ../../usr/share/doc/systemd/README.logs
drwxr-xr-x 3 root root 4096 Oct 26 09:36 runit
-rw-rw-r-- 1 root utmp 43776 Dec 29 09:27 wtmp
Re: Server nicht mehr erreichbar [Debian 12]
naja,
da es sich wohl um einen Webserver handelt, nextcloud, wohl die des webservers...
da MySQL wohl auch verwendet wird, kannst du diese bzw. die von mariadb auch checken.
da es sich wohl um einen Webserver handelt, nextcloud, wohl die des webservers...
Code: Alles auswählen
/var/log/apache2/
-- nichts bewegt Sie wie ein GNU --
-
- Beiträge: 4
- Registriert: 29.12.2023 07:08:51
Re: Server nicht mehr erreichbar [Debian 12]
Ich habe die Nginx und MariaDB nun mehrfach durchgesehen. Das MariaDB-Log ist vollkommen unauffällig.
Das Nginx-Log hat leider einen Fehler und geht nur bis 1 Tag zuvor... den Fehler im Log konnte ich zumindest beheben (https://stackoverflow.com/questions/468 ... nning-of-v)
Ich werde wohl warten müssen ob/wann der Fehler erneut auftritt.
Das Nginx-Log hat leider einen Fehler und geht nur bis 1 Tag zuvor... den Fehler im Log konnte ich zumindest beheben (https://stackoverflow.com/questions/468 ... nning-of-v)
Ich werde wohl warten müssen ob/wann der Fehler erneut auftritt.
Re: Server nicht mehr erreichbar [Debian 12]
interessant wäre
und insbesondere alles am ende.
Code: Alles auswählen
journalctl -b-1