|
|
|
|
Wäre jetzt 2002 würde ich kucken ob 21 ansprechbar ist und ein Stro drausgemacht wurde, der IRC Kanäle versorgt. Aber das ist sehr spezifisch.
Aber check trotzdem mal die Verzeichnisse ab, was da an GB rumliegt.
|
|
|
|
|
|
|
| Zitat von Armag3ddon
Frage aus laienhafter Server-Betreiber-Sicht. Das Webpanel meines Hosters zeigt mir für den mods-mpe.de-Server an, dass in den letzten 31 Tagen 19 Gigabyte an Traffic entstanden sind. Auf dem Ding läuft die MPE-Webseite, die immer nur ein paar kB Daten verursacht und certbot. Sonst nichts.
Ich sehe keine verdächtigen Prozesse oder Dateien o.ä. auf dem Server rumliegen.
Ist es plausibel, dass diese Trafficmenge allein durch den China-Spam, d.h. Abfragen nach /phpadmin o.ä. und SSH-Loginversuche entsteht?
| |
Klar.
Was sagen denn die Serverlogs? Hast du da Einsicht drauf?
|
|
|
|
|
|
|
| Zitat von derSenner
| Zitat von Armag3ddon
Frage aus laienhafter Server-Betreiber-Sicht. Das Webpanel meines Hosters zeigt mir für den mods-mpe.de-Server an, dass in den letzten 31 Tagen 19 Gigabyte an Traffic entstanden sind. Auf dem Ding läuft die MPE-Webseite, die immer nur ein paar kB Daten verursacht und certbot. Sonst nichts.
Ich sehe keine verdächtigen Prozesse oder Dateien o.ä. auf dem Server rumliegen.
Ist es plausibel, dass diese Trafficmenge allein durch den China-Spam, d.h. Abfragen nach /phpadmin o.ä. und SSH-Loginversuche entsteht?
| |
Klar.
Was sagen denn die Serverlogs? Hast du da Einsicht drauf?
| |
Jo, ist mein vServer. Die Logs schau ich immer mal an. Da sind keine verdächtigen Dinge drin, keine erfolgreiche Auths außer meinen. Aber ich weiß nicht 100%, wie man seine Aktivitäten unter Debian verschleiern könnte.
|
|
|
|
|
|
|
Ist da z.B. ein Apache oder so drauf? Gibt es da access.log s oder error.log s? Wenn Docker: was sagt docker logs ganz allgemein?
Im Zweifel: Nach den größten Files am System suchen; evtl. findet man so einen Service, der zugespammt wird:
https://www.cyberciti.biz/faq/linux-find-largest-file-in-directory-recursively-using-find-du/
Auch immer gut: Was zeigt htop (o.ä.) an? Ballert irgend ein Prozess massiv?
// Da ist ja ein Formular auf der Seite, oder? Vielleicht wird das massiv automatisiert gespammt. Dann sollte man das am Webserver aber in den Logs sehen.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von derSenner am 22.09.2021 20:53]
|
|
|
|
|
|
nginx ist drauf. Die Logs enthalten den üblichen Spam. Also sekündliche Aufrufe auf phpmyadmin-Pfade, phpinfo() oder sonstige verbreitete Adminkonsolen.
Die Seite selbst läuft mit flask auf gunicorn, also gibt es bei den Anfragen immer nur 404.
htop hat nichts verdächtiges ausgeworfen. Das Formular (www.mods-mpe.de) ist durch den besten Captcha der Welt gesichert, den konnten die Bots noch nicht knacken.
Aber klar, da wird mal reingespamt.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Armag3ddon am 22.09.2021 20:56]
|
|
|
|
|
|
19 GB/Monat sind ja nur ein paar kB/s, das wird einfach das übliche rumgescanne sein.
e: Bei mir (OpenBSD) sehe ich in den Stats seitens Hoster/Hypervisor auch immer so 20-30 pps, aber davon wirft der Kernel nahezu alles weg, sodass es nichtmal im netstat auftaucht (Portscans verursachen keine gültigen Verbindungen).
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 22.09.2021 21:02]
|
|
|
|
|
|
Man könnte natürlich gewisse IP Ranges mal sperren, und dann gucken
Bzw. eben in den Logs gucken, wo diese Spam-Anfragen *meist* herkommen.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von derSenner am 22.09.2021 20:59]
|
|
|
|
|
|
| Zitat von csde_rats
19 GB/Monat sind ja nur ein paar kB/s, das wird einfach das übliche rumgescanne sein.
| |
Okay. Die Mathematik hab ich nicht gemacht.
|
|
|
|
|
|
|
| Zitat von derSenner
Man könnte natürlich gewisse IP Ranges mal sperren, und dann gucken
| |
Inb4 irgendein pOTler meckert, weil er aus Hong Kong nichts nominieren darf!
|
|
|
|
|
|
|
Ich möchte über meinen Mac (Chrome oder Safari, Privater Modus oder normal) eine Seite aufrufen, die aber die Verbindung ablehnt. Ich war aber vorher schon auf der Seite.
Über Mobile Daten gehts ganz normal. Firewall Problem? Habe eigentlich nur eine Fritzbox 7530.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von RageQuit am 27.09.2021 14:20]
|
|
|
|
|
|
Evtl. auch DNS-Problem. Stell mal auf 1.1.1.1.
|
|
|
|
|
|
|
Tippe auch auf DNS. Dass deine Firewall in http/s Ports eingreift, sollte wohl eher nicht einfach so passieren.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Armag3ddon am 27.09.2021 14:43]
|
|
|
|
|
|
Leider kein Erfolg mit der DNS Änderung.
|
|
|
|
|
|
|
Ist das mobile Netz ein anderer Provider als das Internet zu Hause?
Ggf. hat auch der Provider die Seite geblockt, je nachdem was du dir da wieder für Schmuddelkram angucken willst.
|
|
|
|
|
|
|
Neuer Ansatz: Auf meinem Handy im WLan gehts auch. Es muss also irgendeine Einstellung am Mac sein.
|
|
|
|
|
|
|
have you tried turning it off and on again?
|
|
|
|
|
|
|
| Zitat von RageQuit
Neuer Ansatz: Auf meinem Handy im WLan gehts auch. Es muss also irgendeine Einstellung am Mac sein.
| |
Ist da ein Proxy eingetragen aus Gründen?
|
|
|
|
|
|
|
ohne genaue Fehlermeldung und welche Seite ist das doch
|
|
|
|
|
|
|
Jo, ich hätte jetzt auch mal gefragt, was der Browser für eine Fehlermeldung zeigt. Und ob der Mac neugestartet wurde, nachdem der DNS geändert wurde.
|
|
|
|
|
|
|
| Zitat von RageQuit
Ich möchte über meinen Mac (Chrome oder Safari, Privater Modus oder normal) eine Seite aufrufen, die aber die Verbindung ablehnt. Ich war aber vorher schon auf der Seite.
Über Mobile Daten gehts ganz normal. Firewall Problem? Habe eigentlich nur eine Fritzbox 7530.
| |
Kindersicherung der Fritzbox ausgeschaltet? Ist beim Gastzugang standardmäßig aktiv, glaube ich.
Aber das hättest du sicherlich schon eher bemerkt, wenn keine Booba-Seite funktioniert.
|
|
|
|
|
|
|
Dann müsste es am Handy ja auch nicht gehen.
|
|
|
|
|
|
|
Heute gehts wieder, ich habe keine Ahnung wieso und auch nichts verändert
|
|
|
|
|
|
|
| Zitat von RageQuit
Heute gehts wieder, ich habe keine Ahnung wieso und auch nichts verändert
| |
Die Fritzbox wird sich heute Nacht selber neu gestartet haben.
| have you tried turning it off and on again?
| |
|
|
|
|
|
|
|
Macht aber irgendwie keinen Sinn, da es im WLAN mit Handy auch ging. Keine Ahnung was da wieder los war, die Fehlermeldung war einfach ERR_CONNECTION_REFUSED
|
|
|
|
|
|
|
| Zitat von RageQuit
Macht aber irgendwie keinen Sinn, da es im WLAN mit Handy auch ging. Keine Ahnung was da wieder los war, die Fehlermeldung war einfach ERR_CONNECTION_REFUSED
| |
Lässt sich nachträglich schwer diagnostizieren. Zumal du keine genaueren Infos geliefert hast. Das kann an tausend Sachen gelegen haben. Im Zweifelsfall immer erst mal Gerät und Router neustarten.
|
|
|
|
|
|
|
Ich hab im Mailprogramm Thunderbird eine Termineinladung bekommen. Ich habe diese Angenommen und auch auf "Annehmen - Antwort jetzt senden" geklickt.
Kann man irgendwo nachgucken ob diese Antwort auch wirklich verschickt wurde ? Im Postausgangsordner ist nichts rausgegangen.
|
|
|
|
|
|
|
Im Termin sollte eigentlich stehen, dass du zugesagt hast. Dann sollte die Nachricht angekommen sein. Oder du misstraust dem System.
|
|
|
|
|
|
|
Ja genau. Es steht drin dass ich zugesagt habe. Wollte mich nur vergewissern ob auch wirklich was rausgegangen ist oder ob du nur ein interner Vermerk ist.
|
|
|
|
|
|
|
Meinst du mit Postausgang den Ordner "Gesendet"? Da werden die bei mir jedenfalls angezeigt.
|
|
|
|
|
|
|
| Zitat von BulletTime
Meinst du mit Postausgang den Ordner "Gesendet"? Da werden die bei mir jedenfalls angezeigt.
| |
Ja genau und da ist es bei mir leider leer.
|
|
|
|
|
|
Thema: Informatiker helfen PC Neulingen |