[HaBo]

Fordragon · 29.11.11, 17:47

Hallo Leute,

ich habe ein problem mit meinem Server und zwar funktionieren nach ein paar stunden der FTP Server nicht mehr und per SSH kann ich auch nicht mehr auf den Server zugreifen. CSS und TS3 Server laufen problemlos weiter ohne i-welche vorkomnisse.

Wenn ich mit Filezilla versuche auf den Server zu gelangen meldet mir dieser nur:

Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Nach einem Reboot des Server geht es dann wieder ein paar stunden lang und dann darf ich wieder neu starten.

Danke schonmal für eure Antworten.
Mfg Fordragon

fabuloes · 29.11.11, 18:39

Hast du irgendwelche Netzwerkfilter (via iptables o.ä.) für die Server konfiguriert?
Wenn ja wäre da vllt. ein Ansatzpunkt zu finden. Ansonsten kannst du ja mal per Wireshark/tcpdump die Verbindungsversuche mitsniffen und die Ergebnisse posten.

Anzeige

- Anzeige -

Fordragon · 29.11.11, 18:40

Ja habe in den letzten Tagen 2 oder 3 einträge in die iptables gemacht da mein Server mehrfach angegriffen wurde (per BruteForce jedoch sehr langsam)

fabuloes · 29.11.11, 18:46

Dann poste doch mal ein paar Policies.

Fordragon · 29.11.11, 18:48

Werd ich tun muss den Server mal wieder neu starten -.-

fabuloes · 29.11.11, 18:54

Okay, und noch ein Tipp in Sachen Bruteforce-Protection:
Wenn die Angriffe nicht explizit dir gegolten haben, sondern durch einen BF-Bot oder sowas zustande kommen, leg mal den SSH-Port auf einen >1024 Port.
Das blockt zumindest 90% aller (automatischen) Bruteforces.

**bitmuncher** · 29.11.11, 19:19

Gegen Bruteforces hilft fail2ban. Manuelle Änderungen der iptables bringen da gar nichts, da die sowieso meist von Bots kommen, die lediglich ein paar Standard-Accounts und Passwörter durchprobieren. Ich glaube aber nicht, dass die IPTables das Problem sind, da ja im Normalfall die IP des Angreifers gesperrt wird und nicht komplette Services für alle. Für mich klingt das eher nach einem Speicher-Problem. Beispiel-Szenario: TS und CSS fressen mehr und mehr RAM, irgendwann ist der Swap voll und der Server beginnt leerlaufende Prozesse wie den SSH- und den FTP-Server zu killen um wieder Speicher für TS und CSS freizubekommen. Das würde auch dazu passen, dass die Verbindungen immer erst nach ein paar Stunden nicht mehr möglich ist.

**xeno** · 29.11.11, 20:41

So ein Verhalten ist für V-Server nicht gerade ungewöhnlich. Wie Bitmuncher schon sagte, kann es sein, daß der OOM-Killer da grad fröhlich seinen Dienst verrichtet.

Falls fail2ban oder etwas ähnliches eingesetzt wird, kann es natürlich auch sein, daß nach dreifacher Eingabe eines falschen Passwortes du dich selber ausgesperrt hast. Aber das bezweifle ich an dieser Stelle einfach mal.

Den Port des SSH-Server umzubiegen halte ich nach wie vor für totalen Unfug. Um das Problem der ständigen Brute-Force-Angriffe (ist das wirklich ein Problem?) zu lösen, schaltet man die Authentifizierung über ein Passwort ab und verwendet einen SSH-Key.

Primär würde mich aber interessieren, ob es sich um einen V-Server handelt, wie ich es vermute.

Fordragon · 30.11.11, 09:47

Habe die IPTables testweise mal gelöscht und es lag nicht daran, habe gestern DenyHosts installiert.

Ja es handelt sich um einen vServer von Server4you. Hatte dieses Problem bissher nie und hatte schon 2 CSS Server + TS + Apache + Mysql etc. am laufen. Ram sollte genug zur verfügung stehen.

Und wenn es doch daran liegen sollte gibt es eine möglichkeit die konfiguration zu ändern sodass prozesse wie ssh und ftp nicht beendet werden?

**bitmuncher** · 30.11.11, 11:13

Zitat:

Zitat von Fordragon

Und wenn es doch daran liegen sollte gibt es eine möglichkeit die konfiguration zu ändern sodass prozesse wie ssh und ftp nicht beendet werden?

Du kannst entsprechend hohe Nice-Level für die Prozesse nutzen.

Fordragon · 30.11.11, 14:02

Hatte heut morgen wieder das Problem und hab den Server restartet jedoch habe ich den CSS Server nicht gestartet und bis jetzt läufts ohne probleme ich test das jetzt ma bis heut abend weiter. Vllt liegt es ja echt an CSS

Hackse · 30.11.11, 14:42

Habe bei S4Y auch mehrere Debian-Vserver im Einsatz, zum Teil auch mit Mysql, Apache, etc., kann aber das Problem nicht bestätigen.

Wie bereits erwähnt wurde, handelt es sich vermutlich um ein Speicherproblem.

Was sagen die Logfiles (syslog, auth.log)?

Greetz
Hackse

Fordragon · 30.11.11, 14:57

Werden leider nach jedem Reboot des systems gelöscht.

Habe den CSS Server wie gesagt aus gelassen und bis jetzt läuft alles ohne Probleme , denke der Fehler wird von ihm verursacht, frage mich nur wieso.

**bitmuncher** · 30.11.11, 15:28

Wirf doch einfach mal den CSS-Server an und schaue regelmässig in den Output von 'free -m'. Läuft da nach und nach der Speicher voll, hast du den Schuldigen gefunden.

Ursache für sowas sind in den meisten Fällen Memory Leaks. Allerdings konnte ich bisher beim original CSS-Server ohne irgendwelche Erweiterungen sowas nicht feststellen. Wie sieht denn deine Server-Konfiguration von CSS aus? Evtl. hast du ja auch nur irgendwelche Buffer-Grössen zu stark vergrössert.

Fordragon · 30.11.11, 16:01

Ok werd ich mal versuchen. Kann weiterhin ohne Probleme drauf (CSS läuft nicht).

Evtl. ist es das Deathmatch system weil das hat derzeit viele Errors (Corpse Remove geht nicht wie es soll z.B.) oder Eventscripts... Die Config sieht wie folgt aus:

Code:

// server name
hostname ""

// rcon passsword
rcon_password ""

// Advanced RCON
sv_rcon_banpenalty 60
sv_rcon_maxfailures 5
sv_rcon_minfailures 5
sv_rcon_minfailuretime 3600

// server cvars
mp_friendlyfire 0
mp_footsteps 1
mp_autoteambalance 1
mp_autokick 0
mp_flashlight 0
mp_tkpunish 0
mp_forcecamera 0
sv_alltalk 1
sv_pausable 0
sv_cheats 0
sv_consistency 1
sv_allowupload 1
sv_allowdownload 1
sv_downloadurl ""
sv_maxspeed 320
mp_limitteams 2
mp_hostagepenalty 5
sv_voiceenable 1
mp_allowspectators 1
mp_timelimit 60
mp_chattime 10
sv_timeout 45

//Surf
sv_airaccelerate 100
sv_wateraccelerate 100
sv_enablebunnyhopping 1

// round specific cvars
mp_freezetime 1
mp_roundtime 20
mp_startmoney 0
mp_c4timer 0
mp_fraglimit 0
mp_maxrounds 0
mp_winlimit 0
mp_playerid 0
mp_spawnprotectiontime 0

// bandwidth rates/settings
sv_minrate 4000
sv_maxrate 8000
decalfrequency 60
sv_maxupdaterate 60
sv_minupdaterate 10

// server logging
log off
sv_logbans 0
sv_logecho 1
sv_logfile 1
sv_log_onefile 0

// operation
sv_lan 0
sv_region 3

// execute ban files
exec banned_user.cfg
exec banned_ip.cfg

Anzeige

- Anzeige -

29.11.11, 17:47	#1 (permalink)
Fordragon Registriert seit: 11.03.10 Likes: 0	[Debian 6] Problem mit FTP & SSH Anzeige Hallo Leute, ich habe ein problem mit meinem Server und zwar funktionieren nach ein paar stunden der FTP Server nicht mehr und per SSH kann ich auch nicht mehr auf den Server zugreifen. CSS und TS3 Server laufen problemlos weiter ohne i-welche vorkomnisse. Wenn ich mit Filezilla versuche auf den Server zu gelangen meldet mir dieser nur: Fehler: Zeitüberschreitung der Verbindung Fehler: Herstellen der Verbindung zum Server fehlgeschlagen Nach einem Reboot des Server geht es dann wieder ein paar stunden lang und dann darf ich wieder neu starten. Danke schonmal für eure Antworten. Mfg Fordragon

29.11.11, 18:39	#2 (permalink)
fabuloes Registriert seit: 26.01.11 Likes: 9	Hast du irgendwelche Netzwerkfilter (via iptables o.ä.) für die Server konfiguriert? Wenn ja wäre da vllt. ein Ansatzpunkt zu finden. Ansonsten kannst du ja mal per Wireshark/tcpdump die Verbindungsversuche mitsniffen und die Ergebnisse posten. __________________ http://sourceforge.net/projects/my-connect/

29.11.11, 18:46	#4 (permalink)
fabuloes Registriert seit: 26.01.11 Likes: 9	Dann poste doch mal ein paar Policies. __________________ http://sourceforge.net/projects/my-connect/

29.11.11, 18:54	#6 (permalink)
fabuloes Registriert seit: 26.01.11 Likes: 9	Okay, und noch ein Tipp in Sachen Bruteforce-Protection: Wenn die Angriffe nicht explizit dir gegolten haben, sondern durch einen BF-Bot oder sowas zustande kommen, leg mal den SSH-Port auf einen >1024 Port. Das blockt zumindest 90% aller (automatischen) Bruteforces. __________________ http://sourceforge.net/projects/my-connect/

29.11.11, 19:19	#7 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Gegen Bruteforces hilft fail2ban. Manuelle Änderungen der iptables bringen da gar nichts, da die sowieso meist von Bots kommen, die lediglich ein paar Standard-Accounts und Passwörter durchprobieren. Ich glaube aber nicht, dass die IPTables das Problem sind, da ja im Normalfall die IP des Angreifers gesperrt wird und nicht komplette Services für alle. Für mich klingt das eher nach einem Speicher-Problem. Beispiel-Szenario: TS und CSS fressen mehr und mehr RAM, irgendwann ist der Swap voll und der Server beginnt leerlaufende Prozesse wie den SSH- und den FTP-Server zu killen um wieder Speicher für TS und CSS freizubekommen. Das würde auch dazu passen, dass die Verbindungen immer erst nach ein paar Stunden nicht mehr möglich ist. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

29.11.11, 18:40	#3 (permalink)
Fordragon Themenstarter Registriert seit: 11.03.10 Likes: 0	Ja habe in den letzten Tagen 2 oder 3 einträge in die iptables gemacht da mein Server mehrfach angegriffen wurde (per BruteForce jedoch sehr langsam)

29.11.11, 18:48	#5 (permalink)
Fordragon Themenstarter Registriert seit: 11.03.10 Likes: 0	Werd ich tun muss den Server mal wieder neu starten -.-

29.11.11, 20:41	#8 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	So ein Verhalten ist für V-Server nicht gerade ungewöhnlich. Wie Bitmuncher schon sagte, kann es sein, daß der OOM-Killer da grad fröhlich seinen Dienst verrichtet. Falls fail2ban oder etwas ähnliches eingesetzt wird, kann es natürlich auch sein, daß nach dreifacher Eingabe eines falschen Passwortes du dich selber ausgesperrt hast. Aber das bezweifle ich an dieser Stelle einfach mal. Den Port des SSH-Server umzubiegen halte ich nach wie vor für totalen Unfug. Um das Problem der ständigen Brute-Force-Angriffe (ist das wirklich ein Problem?) zu lösen, schaltet man die Authentifizierung über ein Passwort ab und verwendet einen SSH-Key. Primär würde mich aber interessieren, ob es sich um einen V-Server handelt, wie ich es vermute. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

30.11.11, 09:47	#9 (permalink)
Fordragon Themenstarter Registriert seit: 11.03.10 Likes: 0	Habe die IPTables testweise mal gelöscht und es lag nicht daran, habe gestern DenyHosts installiert. Ja es handelt sich um einen vServer von Server4you. Hatte dieses Problem bissher nie und hatte schon 2 CSS Server + TS + Apache + Mysql etc. am laufen. Ram sollte genug zur verfügung stehen. Und wenn es doch daran liegen sollte gibt es eine möglichkeit die konfiguration zu ändern sodass prozesse wie ssh und ftp nicht beendet werden?

30.11.11, 14:02	#11 (permalink)
Fordragon Themenstarter Registriert seit: 11.03.10 Likes: 0	Hatte heut morgen wieder das Problem und hab den Server restartet jedoch habe ich den CSS Server nicht gestartet und bis jetzt läufts ohne probleme ich test das jetzt ma bis heut abend weiter. Vllt liegt es ja echt an CSS

30.11.11, 14:42	#12 (permalink)
Hackse Registriert seit: 31.07.06 Likes: 32	Habe bei S4Y auch mehrere Debian-Vserver im Einsatz, zum Teil auch mit Mysql, Apache, etc., kann aber das Problem nicht bestätigen. Wie bereits erwähnt wurde, handelt es sich vermutlich um ein Speicherproblem. Was sagen die Logfiles (syslog, auth.log)? Greetz Hackse

30.11.11, 14:57	#13 (permalink)
Fordragon Themenstarter Registriert seit: 11.03.10 Likes: 0	Werden leider nach jedem Reboot des systems gelöscht. Habe den CSS Server wie gesagt aus gelassen und bis jetzt läuft alles ohne Probleme , denke der Fehler wird von ihm verursacht, frage mich nur wieso.

30.11.11, 15:28	#14 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Wirf doch einfach mal den CSS-Server an und schaue regelmässig in den Output von 'free -m'. Läuft da nach und nach der Speicher voll, hast du den Schuldigen gefunden. Ursache für sowas sind in den meisten Fällen Memory Leaks. Allerdings konnte ich bisher beim original CSS-Server ohne irgendwelche Erweiterungen sowas nicht feststellen. Wie sieht denn deine Server-Konfiguration von CSS aus? Evtl. hast du ja auch nur irgendwelche Buffer-Grössen zu stark vergrössert. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Debian lenny + amd64 + xen = problem	easteregg	Linux/UNIX	8	07.04.09 00:44
Debian/Ubuntu Squid - Problem	naked_chef	Linux/UNIX	2	07.10.08 22:23
Kleines Debian Problem reloaded	[starfoxx]	Linux/UNIX	10	26.12.05 13:50
Wlan Problem unter Debian	elite-noob	Network · LAN, WAN, Firewalls	12	13.11.05 22:08
Kleines Debian Problem	[starfoxx]	Linux/UNIX	14	10.10.05 11:52

[HaBo]

[Debian 6] Problem mit FTP & SSH