Domains schwer erreichbar

[vollpfosten]

hallo,
unser server ist seit einigen tagen mit problemen belastet.
email funktioniert, ich komme in den confixx bereich.
ein virenscanner hat auch keine probleme gefunden
10:45am up 21 min, 1 user, load average: 0.00, 0.03, 0.00

andauern werden diese anfragen an den bereich web 19 gerichtet.
vorher war es web18 ein umzug hat auch nicht geholfen.
es betrifft aber wohl nur ein paar domains bei dem kunden, denn als ich web 18 gesperrt hatte und einige domins in den neuen bereich übernommen habe, ging alles locker flockig, so wie immer.
jetzt habe ich wieder alle domains aktiv genommen und schon geht nichts wieder
error.log:
[Tue Feb 7 10:38:30 2006] [error] [client 62.205.202.119] File does not exist: /home/www/web19/html/ddd.jpg
[Tue Feb 7 10:38:30 2006] [error] [client 82.208.174.121] File does not exist: /home/www/web19/html/q.jpg
access.log:
63.241.148.10 - - [07/Feb/2006:00:47:29 +0100] "GET /q.jpg HTTP/1.1" 404 864
194.158.98.37 - - [07/Feb/2006:00:47:29 +0100] "GET /q.jpg HTTP/1.1" 404 864

es ist suse 8.1
ich habe außerdem in messages immer diesen wert:
Feb 7 10:28:45 p15124107 sshd[1166]: Could not reverse map address 80.121.155.132.
Feb 7 10:28:45 p15124107 sshd[1166]: Failed password for root from 80.121.155.132 port 51870 ssh2
dann noch dieses in warn:
Feb 6 16:07:35 p15124107 postfix/smtpd[4020]: unable to open Berkeley db /etc/sasldb: Permission denied

habe das ganze mal verfolgt und lande in österreich.
die dateien gibt es definitiv nicht auf dem server.
ist das eine attacke von außen oder kommt das von innen und warum nur bei diesem einen kunden
irgendeiner eine idee?

[vollpfosten]

habe nun rausgefunden um welche domain es sich handelt, nur diese eine domain kriegt diese anfragen, alle anderen laufen nun in einem anderen bereich

[[gca].dfritz]

hallo,
unser server ist seit einigen tagen mit problemen belastet.
email funktioniert, ich komme in den confixx bereich.
ein virenscanner hat auch keine probleme gefunden
10:45am up 21 min, 1 user, load average: 0.00, 0.03, 0.00

Das sieht doch alles ganz gut aus. Last hat die Maschine ja keine.

andauern werden diese anfragen an den bereich web 19 gerichtet.
vorher war es web18 ein umzug hat auch nicht geholfen.

Das wird wohl daran liegen, das die WEB18 und WEB19 vorher oder nun auch den gleichen Domainnamen haben.

es betrifft aber wohl nur ein paar domains bei dem kunden, denn als ich web 18 gesperrt hatte und einige domins in den neuen bereich übernommen habe, ging alles locker flockig, so wie immer.
jetzt habe ich wieder alle domains aktiv genommen und schon geht nichts wieder
error.log:
[Tue Feb 7 10:38:30 2006] [error] [client 62.205.202.119] File does not exist: /home/www/web19/html/ddd.jpg
[Tue Feb 7 10:38:30 2006] [error] [client 82.208.174.121] File does not exist: /home/www/web19/html/q.jpg
access.log:
63.241.148.10 - - [07/Feb/2006:00:47:29 +0100] "GET /q.jpg HTTP/1.1" 404 864
194.158.98.37 - - [07/Feb/2006:00:47:29 +0100] "GET /q.jpg HTTP/1.1" 404 864
es ist suse 8.1

Nunja, mehr als ein 404 (Nix gefunden) kriegt der anfragende nicht zurück ... vielleicht testen die damit, ob eine bestimmte Software läuft. Ich würde mir deswegen keinen Kopf machen, denn so einfach verhindern wirst du solche Anfragen nicht können.


ich habe außerdem in messages immer diesen wert:
Feb 7 10:28:45 p15124107 sshd[1166]: Could not reverse map address 80.121.155.132.
Feb 7 10:28:45 p15124107 sshd[1166]: Failed password for root from 80.121.155.132 port 51870 ssh2


Ja versucht jemand sich in deinen Server als Root einzuloggen. Deswegen Passwort failed - das wirste auch nicht verhindern können. Ein gutes Mittel ist das Projekt FAIL2BAN --> such mal bei google danach. das packt nach 5 falschen Passwörtern die IP in den IPTable und schliesst sie aus.

dann noch dieses in warn:
Feb 6 16:07:35 p15124107 postfix/smtpd[4020]: unable to open Berkeley db /etc/sasldb: Permission denied

Das scheinen ganz einfache Permission Berechtigungen zu sein. Hat aber nicht mit Security in dem Sinn zutun.

habe das ganze mal verfolgt und lande in österreich.
die dateien gibt es definitiv nicht auf dem server.
ist das eine attacke von außen oder kommt das von innen und warum nur bei diesem einen kunden
irgendeiner eine idee?

Kommt definitv von aussen. Wahrscheinlich weil der gerade einen interessanten Domainnamen hat, der irgendwo mal aufgetaucht ist. Normal !

PS: Sehe gerade, hab ins Zitat reingeschrieben :oops:

Gruß Daniel

[chris76]

PS: Sehe gerade, hab ins Zitat reingeschrieben :oops:

Gruß Daniel

Dazu gibts die Edit Funktion ;).