Server down dopo attacco SPAM
gabrydoc3
18.10.2013, 11.58
Alla fine ho reinstallato il server, aumentato la root di default a 50GB ripristinato il backup e fatto la scansione antivirus per eliminare gli spambot. Potete chiudere. Grazie.
gabrydoc3
15.10.2013, 18.06
Capito, li hai disattivati qui i PM avevo provato anche prima oppure sono io che non posso mandarli ti lascio la mia mail: xxxxxxxxx
Il firewall non è disattivato. Sei in rescue mode, le modifiche che fai non hanno effetto sul "tuo" server.
Dovresti fare il chroot e poi disattivare il firewall da lì.
Se riavvi in modalità normale, torni esattamente nella situazione di prima.
Puoi mandarmi un messaggio privato se vuoi.
ciao
gabrydoc3
15.10.2013, 17.57
La mia domanda è? Adesso che il firewall è disattivato riesco a tornare nella modalità normale sperando di rientrare in ssh?
Ti posso chiedere la mail?
è difficile da qui capire quello che hai fatto.
L'unica cosa certa è che quei comandi che hai dato sono inutili, usati così.
gabrydoc3
15.10.2013, 17.46
root@rescue [/dev]# chroot /mnt/
bash: chroot: command not found
root@rescue [/dev]# chroot
bash: chroot: command not found
root@rescue [/dev]# service iptables stop
Opening /proc/modules: No such file or directory
root@rescue [/dev]# service iptables status
Opening /proc/modules: No such file or directory
iptables: Firewall is not running.
iptables: Firewall modules are not loaded.
Come hai disattivato il firewall senza fare il chroot?
gabrydoc3
15.10.2013, 17.43
Sono riuscito cmq a disattivare il firewall e sembra che i comandi funzionino ora.
Cosa mi consigli di fare adesso? Tornare nella modalità normale HD?
gabrydoc3
15.10.2013, 17.39
root@rescue [/]# chroot /mnt/
bash: chroot: command not found
Sto diventando matto non capisco adesso perchè
gabrydoc3
15.10.2013, 17.33
ok ho fatto come hai detto e non ha dato errori:
root@rescue [/]# mount /dev/md1 /mnt
root@rescue [/]# mount /dev/md2 /mnt/home
Adesso faccio chroot /mnt/ ?
gabrydoc3
15.10.2013, 17.32
adesso faccio chroot /mnt/ ?
gabrydoc3
15.10.2013, 17.32
root@rescue [/]# mount /dev/md1 /mnt
root@rescue [/]# mount /dev/md2 /mnt/home
Ho fatto come hai detto è tutto è andato bene
perché non hai montato la home nel posto giusto.
hai provato a smontare tutto e montare /dev/md2 in /mnt/home?
gabrydoc3
15.10.2013, 17.28
Sembra che andava perchè mi riporta la radice con le cartelle blu:
./ bin/ etc/ lost+found/ proc/ selinux/ usr/
../ boot/ home/ media/ root/ srv/ var/
.autofsck cgroup/ lib/ mnt/ sbin/ sys/
.autorelabel dev/ lib64/ opt/ scripts@ tmp/
pero nella home non ci sono tutti i files
Qualcosa non va.
devi montare /dev/md1 in /mnt e /dev/md2 in /mnt/home
smontali
umount /dev/md1
umount /dev/md2
e riprova
gabrydoc3
15.10.2013, 17.20
root@rescue:/# df -h
Filesystem Size Used Avail Use% Mounted on
rootfs 3.9G 78M 3.8G 2% /
none 3.9G 78M 3.8G 2% /
91.121.126.137:/home/pub/rescue.v7 2.0T 173G 1.7T 10% /nfs
91.121.126.137:/home/pub/pro-power 2.0T 173G 1.7T 10% /power
tmpfs 10M 176K 9.9M 2% /dev
tmpfs 788M 68K 788M 1% /run
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 1.6G 0 1.6G 0% /run/shm
/dev/md1 20G 13G 5.6G 70% /mnt
/dev/md2 20G 13G 5.6G 70% /mnt
/dev/md1 20G 13G 5.6G 70% /mnt
/dev/md1 20G 13G 5.6G 70% /mnt/home
root@rescue:/# ls
MegaSAS.log dev lib mountmd2 nfs proc sbin usr
bin etc mnt mountsda3 opt root sys var
boot home mountmd1 mountsdb3 power run tmp
root@rescue:/# chroot /mnt/
bash: whoami: command not found
bash: mesg: command not found
bash: dircolors: command not found
lascia stare fdisk -l, è normale quanto sopra.
devi montare il RAID (l'hai fatto? cosa ti restituisce?)
e poi fare il chroot in /mnt/ (come dice la guida per il rescue ovh)
gabrydoc3
15.10.2013, 17.13
Ti ringrazio molto ho eseguito i comandi sopra ma purtroppo quando faccio il fdisk -l mi riporta la situazione iniziale.
Il backup è presente nella home/backup fatto dal cpanel.
Ti posso chiedere un consiglio per risolvere questa situazione?
Nel caso potresti aiutarmi anche pagando a questo punto perchè non mi è mai successa questa cosa e sono veramente disperato.
devi prima "assemblare" il raid e poi montare /dev/md1 (e poi /dev/md2)
ho editato il messaggio sopra
Spero tu abbia un backup. Perché andando a caso è facile combinare casini.
ciao
gabrydoc3
15.10.2013, 16.58
Ciao purtroppo non sono molto pratico con il RAID ed è qui che viene il problema, ho provato cmq anche con la sdb1 ma riporta lo stesso errore.
Ho cercato si seguire fedelmente la guida di ovh
Perché, se hai il raid, cerchi di montare sda ?
mdadm --assemble /dev/md1 /dev/sda1 /dev/sdb1
mount /dev/md1 /mnt
dopo devi montare anche /dev/md2 (dove PRESUMIBILMENTE hai la /home)
mdadm --assemble /dev/md2 /dev/sda2 /dev/sdb2
mount /dev/md2 /mnt/home
gabrydoc3
15.10.2013, 16.46
Ciao a tutti sono Gabriele,
Purtroppo dopo aver ricevuto un massiccio attacco spam che mi sovraccariva sempre il server, avevo bloccato la porta 25 del firewall, temporaneamente per studiare il problema.
Infine avendo liberato più spazio possibile nella root (20 GB) eliminando log e tutto quello che potevo. Purtroppo mi sono accorto che gli inodes della root erani quasi al 100% compromettendo il funzionamento del CPANEL, yum, ho cercato di eliminare i piccoli file.
Qui arriva il problema:
Controllando le varie directory degli inodes con questo comando sono andato a pulire la /usr cancellando gli inodes più vecchi di 10 gg:
find ./ -type f -mtime +10 | wc -l
Da qui è iniziato il disastro perchè il server non rispondeva più, ssh chiusa.
Ho telefonato a ovh e l'operatore gentilissimo mi ha detto che avevo il firewall con le porte tutte bloccate.
Avevo configurato tutto bene lasciando aperte la 80,443,22 almeno e mi sembrava strano questo; mi ha consigliato di andare in modalità rescue per disattivare il firewall e controllare eventuali problemi via ssh:
Ho controllato via browser in rescue l'integrità della CPU RAM HD e sembra tutto ok.
Passo via ssh in rescue vi riporto la situazione:
root@rescue:~# fdisk -l
Disk /dev/sdb: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders, total 1953525168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x00073917
Device Boot Start End Blocks Id System
/dev/sdb1 * 4096 41947135 20971520 fd Linux raid autodetect
/dev/sdb2 41947136 1952468991 955260928 fd Linux raid autodetect
/dev/sdb3 1952468992 1953519615 525312 82 Linux swap / Solaris
Disk /dev/sda: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders, total 1953525168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006064b
Device Boot Start End Blocks Id System
/dev/sda1 * 4096 41947135 20971520 fd Linux raid autodetect
/dev/sda2 41947136 1952468991 955260928 fd Linux raid autodetect
/dev/sda3 1952468992 1953519615 525312 82 Linux swap / Solaris
Disk /dev/md2: 978.2 GB, 978187124736 bytes
2 heads, 4 sectors/track, 238815216 cylinders, total 1910521728 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x00000000
Disk /dev/md2 doesn't contain a valid partition table
Disk /dev/md1: 21.5 GB, 21474770944 bytes
2 heads, 4 sectors/track, 5242864 cylinders, total 41942912 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x00000000
Disk /dev/md1 doesn't contain a valid partition table
Quando pero' vado per montare gli hard disk con questo comando mi riporta:
root@rescue:~# mount /dev/sda1 /mnt/
mount: unknown filesystem type 'linux_raid_member'
Da quello che ho capito ci deve essere un problema nel file system ma purtroppo non ho le competenze adeguate per intervenire e vi chiedo per favore se potevate aiutarmi a risolvere questo problema perchè sono disperato.
Volevo cercare di montare gli hard disk in rescue per disabilitare il firewall e cercare di capire cosa era successo.