Mein Server macht PowerDown

in deutsch •  6 months ago 

Mein Contabo Server gibt mir echt Rätsel auf, heute Mittag hat er sich aus heiterem Himmel runter gefahren. Über uptimerobot.com läuft ein Monitor und so bekomme ich eine Nachricht auf's Handy, falls der Server nicht erreichbar ist. Sonst hätte ich das wahrscheinlich erst viel später mitbekommen.

Downtime wurde um 12:11 bemerkt, alle 10 Minuten wird die Erreichbarkeit geprüft, der Shutdown könnte also ab 12:01 Uhr stattgefunden haben. Der Zeitpunkt ist wichtig, sonst weiß man gar nicht wo man suchen soll.

image-20210409211529752

Der Witness geht mit Block 7899895 offline, 2021-04-09T10:09:30 = 12:09:30 MESZ

image-20210409175616434

Ein Blick in /var/log/auth.log

image-20210409194638837

Unzählige Loginversuche, fast im Sekundentakt. Die IP's stammen hauptsächlich aus China, einige aus USA und Norwegen. Bunte Mischung.

Mal sehen, ob es jemand geschafft hat, mit last -f wtmp sieht man die erfolgreichen Logins:

image-20210409202146292

Ok, das sieht gut aus, nur meine eigene IP.

Aber was war jetzt überhaupt los, warum hat sich der Server verabschiedet?

Auch hier hilft ein Blick in /var/log/auth.log, mit cat /var/log/auth.log wird das komplette Logbuch ausgegeben.

image-20210409221645649

Power key pressed... Powering Off... System is powering down.

Wer hat hier den Power-Down-Knopf gedrückt? So etwas macht man doch nicht ;-)

Ursache könnte gewesen sein, ich hatte PasswordAuthentication noch nicht auf no gesetzt. Der Server läuft erst seit Kurzem ich wollte mir den SSH-Login per Passwort noch offen halten. Das habe ich heute Nachmittag nachgeholt und tail -100f /var/log/auth.log zeigt keine weiteren Einträge:

image-20210409223426388

Seit 15:28:02 ist Ruhe, ich hoffe das bleibt so. Außerdem habe ich fail2ban schärfer eingestellt, jetzt werden die IP's bei 3 fehlerhaften Loginversuchen für mehrere Stunden gesperrt.

Nun ja, mittlerweile sind bei mir auch einige Stunden rum. Für mich ist das alles neu, wusste überhaupt nicht wo und wie ich nachsehen könnte. Das dauert natürlich, wo sind die Logdateien überhaupt und wie kann ich diese anzeigen? Wieder was gelernt und vielleicht hilft es jemand, der auch in so eine Situation kommt.

Warum der Server sich verabschiedet hat ist mir aber immer noch ein Rätsel, ob es die vielen Loginversuche waren? Hmm, ich hoffe es.

Wer eine Idee zur Ursache hat, gerne her damit. Und drückt mir die Daumen, dass der Server nicht wieder Powerdown macht!

Bookmarks:

Useful Blurt Links updated continuously
Welcome to Blurt [DE] | Welcome to Blurt [EN] Recommended for newcomers

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE BLURT!
Sort Order:  

Congratulations, your post has been curated by @dsc-r2cornell. Also, find us on Discord

Manually curated by @abiga554

logo3 Discord.png

Felicitaciones, su publicación ha sido votado por @dsc-r2cornell. También, encuéntranos en Discord

Gutes Gelingen und viel Glück mein Lieber!

Und noch mal herzlichen Dank für deine tolle Unterstützung in der letzten Nacht!

Dankeschön, bis jetzt schaut es gut aus!

Drück dir die Daumen!!!

mein Witness Nr.1!!

Auch @condeas ist mein Witness Nr.1!!

lg euch beiden drück ich die Däumchen!!

drück ich die Däumchen!

Wirkt bis jetzt super, danke!

I send you the best of energies and a big hug from a distance so that everything goes well for you. In these cases when one does not know what is happening, it is best to try to remain calm, break the glass and execute the call to a friend, another witness may be, to support you.
You do not have a channel, as well as a network of witnesses where you can be communicated in an expeditious manner? beyond discord.
I hope you have solved, I would like to know please keep me posted.
Good vibes.

Yes, fortunately there are experienced Witnesses who are helpful to me. That is worth its weight in gold and I learn a lot, so maybe I can pass on the help again. In this way we get better and better at what we do. And it is a lot of fun, even if it is sometimes exhausting.

Thank you so much for the positive energies, I really appreciate it.

wao all that looks very complicated.

Yes, for me too ;-)

Warum der Server sich verabschiedet hat ist mir aber immer noch ein Rätsel,

Fail2Ban hat auch seine Grenzen, wenn genug Angriffe in kurzer Zeit folgen, stürzt das Programm mitunter ab.
Im Web gibt es Bot's welche alle möglichen Server auf Schwachstellen untersuchen. Haben sie einen unsicheren Server gefunden, wird er attackiert.
Es gibt aber auch recht einfache Lösungen, dass man auf ein Server Blacklist dieser Bot's kommt. Und zwar, wenn der Bot bei seiner Suche sehr lange aufgehalten wird.

Loading...

Danke für das Update. Ich kenne solche technischen Dinge nicht, also bin ich keine Hilfe. Ich bin zuversichtlich, dass einer der Techniker hier einen Kommentar abgeben kann, damit ich mich beruhigen kann, dass Sie nicht gehackt werden. Jetzt, da die Stiftung die Sicherheit gestärkt hat, wäre ich nicht überrascht, wenn der Hacker aus dem letzten Jahr andere Bereiche untersuchen würde, um sie auszunutzen.

Viel Glück bei der Erklärung, auch wenn es jetzt behoben ist.

Thank you for the update. I'm ignorant of tech stuff like this so am no help. I'm hopeful one of the tech people can comment here so I can ease my mind that you're not being hacked. Now that the foundation has shored up security, I wouldn't be surprised if the hacker from last year would be probing other areas to exploit.

Best of luck in getting this explained, even if it is fixed now.

Ich freue mich über deinen Kommentar, dankeschön!

Und ja, @condeas konnte mir schon weiter helfen, er schreibt demnächst sogar einen Post wie ein Server abgesichert werden kann.

War ein langer Tag, jetzt kann ich beruhigt schlafen gehen.