Server schhottet sich ab - alle connections getrennt

[LilaLaunebär]

Hallo ihr lieben.

Ich habe seit - zumindest ist es mir Gestern abend aufgefallen - Das Problem das der Server sich komplett abriegelt.
Es ist das die Firewall den Server komplett abschottet.

Es ist mir bereits gestern Nachmittag bis in die Nacht 4x passiert.

Heute auch wieder 2x.

Es werden Sogar " Intern " die Verbindungen zum server gekappt, d.h. *localhost connections gehen auch verloren.

Ich Betreibe einen IRC-Chat und Services ... und die Services sind per Localhost mit dem IRC Verbunden.
Aber es hat als ich selbst geflogen bin auch die internen Connections raus fliegen lassen.

Ich kam plötzlich wieder Online, wärend die Services Local sich verabschiedet hat und der IRC-Server entsprechende Fehler ausgeworfen hat.

Ich habe mir alle in frage kommenden Logfiles angesehen und konnte nichts verdächtiges finden.

In Keyhelp Systemstatus ->> Protokolle habe ich in allen Logfiles nachgesehen.
Wenn ich dann das " Master " Logfile anzeigen lassen möchte, bekomme ich eine Leere seite angezeigt..
Muss dann im Browser einen Schritt zurück, führe wieder aus das ich das Master Logfile sehen möchte, und erhalte wieder eine leere weisse seite.

Der Server dichtet sich nach aussen so weit ab, das keine Connections möglich sind.

Einzig der Ping geht durch.

Die Server Dienste laufen dabei weiter, aber der Root lässt keine Anfrage an sich ran kommen.

Teamspeak .. IRC .. und alles was mit dem Webserver zu tun hat - egal ob standard port oder SSL.... werden vom Server nicht beachtet und es endet mit Time Out oder seite nicht gefunden.

Server Attacken im sinne von SSH einlog versuchen kann ich ausschließen, da der SSH über einen anderen port läuft.

Ich habe keine ahnung wo ich ansetzen kann oder soll !?

[christian.john]

Hast du Fail2Ban laufen? Wenn da irgendwas durchgetunnelt wird, kann es vielleicht sein, dass lokalhost gesperrt wird. Nur eine Vermutung...

Ich würde die einzelnen Dienste wie Chat etc. abschalten und schauen wer was verursacht.

[Jolinar]

Server Attacken im sinne von SSH einlog versuchen kann ich ausschließen, da der SSH über einen anderen port läuft.

Wie kommst du auf das schmale Brett?
Den SSH-Port zu verlegen hat nur einen einzigen Effekt...Die Logfiles bleiben etwas sauberer, weil die automatischen Loginversuche meist scriptgesteuert auf dem Standardport erfolgen.
Wenn jemand deinen "neuen" SSH-Port herausfinden will, braucht er nur einen Portscan machen und einige Sekunden auf das Ergebnis des Scans warten.
Das Verlegen des Ports bietet keinerlei erhöhte Sicherheit!

Ich habe keine ahnung wo ich ansetzen kann oder soll !?

Die entsprechenden Systemlogfiles (auth.log, dmesg.log, etc.) nach Auffälligkeiten durchschauen wäre z.B ein möglicher erster Schritt. F2B Rules/Logs anschauen hilft auch oft, um zu sehen, was wann geblockt wurde.

[LilaLaunebär]

Hallo Jolinar,

Ich habe vor einigen Monaten unglaublich viele Attacken per SSH gehabt.

Weit über 500 versuche mit dutzenden IPs pro sekunde.

Als ich damals eine Port änderung für SSH durchgeführt habe, hörte es auf.

Ich prüfe 2x Wöchentlich die auth.log und die ist sauber und weisst nur die meinigen Logins auf.

Ansonsten das übliche was Sys bedingt auch durch Keyhelp durchläuft.

Fail2Ban läuft auch, dieses wurde als ich damals den SSH Port geändert habe ebenfalls angepasst.

Als ich ausgesperrt wurde bzw. als der Server abgeriegelt hat, und ich nach den 5 Minuten wieder zugreifen konnte habe ich auch die f2b logs geprüft und meine IP mal suchen lassen.

Aber meine IP ist im System nicht gelistet.

Vorgestern habe ich meine Private website (joomla) aufrufen wollen... es hat schon ausgereicht das alleine nur die Startseite geladen hat... 2 minuten später via TS und IRC -> Connection lost.

Alle die mit dem TS und IRC Verbunden waren flogen genauso.

Ein reconnect zum TS und IRC ist dann wenn das passiert nicht mehr möglich.

Einzig Ping geht durch.

Wie schon erwähnt, ich habe alle Logfiles durchforstet, auch direkt als ich unmittelbar wieder Zugriff zum System gehabt habe.

Keine chance.. ich finde den übeltäter einfach nicht.

Der Server macht wie gesagt komplett dicht, auch lokalhost wie schon erwähnt macht er dicht weil Services (Anope) sich vom IRC trennen.

Und wie ich gestern in den IRC Logs gesehen habe verlieren die Eggdrop Bots die ebenfalls per localhost verbunden sind auch die connection.

Die sache ist aber auch die, das es nur meinen Root betrifft.

Ich habe ein 1:1 Setup auch als VM laufen.
Aber das arbeitet sauber.

Ich habe jetzt nur noch den verdacht das es mit den Maildiensten zu tun haben könnten denn da hat es die aller meisten zugriffsversuche mit Accs die es nicht gibt oder versuche meinen mailserver als Mailrelay zu verwenden.

Aber der ist durch KH ja abgesichert

Aber das sollte den Server doch eigentlich nicht so derart belasten das er komplett ALLES dicht macht.

F2b sollte störenfriede ja eigentlich fern halten.

Aber stattdessen wird alles abgeriegelt.

Wenn das wie gesagt unmittelbar passiert und ich wieder Zugriff habe... es ist in logfiles nichts zu finden was mir weiter helfen kann.

Von Keyhelp hat es ja ein masterlog.. aber wenn ich das imAdmin panel aufrufe erhalte ich blos eine leere weisse seite.

Das ist das einzigste logfile das wenn manes so nimmt sich meiner einblicke verweigert.

[Alexander]

Zum Problem mit dem master.log: Schau mal in /var/log/keyhelp/php-error.log zum Zeitpunkt des Aufrufens und erscheinen der weißen Seite.