Server nicht mehr erreichbar [Debian 12]

[blacksh33p86]

Servus,

ich betreibe seit einigen Jahren meinen Mailserver selbst. Vor wenigen Monaten bin ich auf Mailcow (mit Nextcloud) umgestiegen und es lief 2 Monate einwandfrei.
(Die Frage bezieht sich nicht auf Mailcow).

Gestern Mittag musste ich feststellen, dass der Server nicht erreichbar ist (kein Ping, kein SSH --> nichts). Laut dem Status meines VPS-Anbieters war der Server zumindest
noch in Betrieb. Nach einem Neustart lief der Server wieder wie gewohnt. Wenige Stunden später wiederholte sich das Spiel.

Die journalctl zeigte immer nur die Logdateien seit dem letzten Boot. Ich habe sie vorhin auf "persistent" umstellt und habe aktuell zwei Terminals (journalctl -f und htop) laufen und hoffe
dort was mitzubekommen.

Ich bin aktuell total ahnungslos was dort passiert. Es wurden keine Update installiert oder sonst irgendwas geändert. Hat jemand vielleicht noch Tips was ich checken könnte? (ohne den Mailserver bin ich aufgeschmissen)

Danke und Grüße

[whisper]

Wenn deine nextclood per web erreichbar ist, wäre eine infiltration per irgendeiner Lücke denkbar.
Oder andere Websoftware

Sofortmassnahme: maldet installieren
https://www.rfxn.com/projects/linux-malware-detect/
Das kann laufen, während du weiter nach den ursachen suchst,
Auch nach prozessen gucken die viel IO machen.
last root, lastb usw. mal angucken ist auch eine gute idee.
Webserver error.log kontrollieren, vor allem auch VOR dem ersten anormalen rebooot. user crontabs ansehen.
Hier mal meine Erfahrungen: https://zockertown.de/s9y/index.php?/ar ... alten.html

[blacksh33p86]

Danke für die schnelle Rückmeldung. An einen Angriff hatte ich natürlich auch gleich gedacht.

Die Logins (last) sind alle sauber. Die Versuche wurden über fail2ban alle verhindert. Die Crontab ist sauber.
Es gibt keine neuen User, die bashistory ist auch plausibel.

Maldet habe ich mal ausprobiert und da scheint auch alles in Ordnung zu sein. Über htop hatte ich auch
die IOs und die Prozesse im Blick. Da sieht eigentlich auch alles normal aus. Heute ist er bislang auch noch
erreichbar. Ich lasse das Monitoring mal den Tag über weiterlaufen und schaue was passiert.

[debilian]

guck dir die Logfiles an.

[blacksh33p86]

guck dir die Logfiles an.

welche ? da ist leider nicht viel da....

Code: Alles auswählen

root@mail:/var/log# ls -la
total 264
drwxr-xr-x   6 root root              4096 Dec 29 06:57 .
drwxr-xr-x  11 root root              4096 Jul 12 11:37 ..
-rw-r--r--   1 root root               184 Dec 29 08:11 alternatives.log
-rw-r--r--   1 root root              3750 Oct 26 10:05 alternatives.log.1
drwxr-xr-x   2 root root              4096 Dec 29 08:11 apt
-rw-rw----   1 root utmp             82177 Dec 29 09:25 btmp
-rw-rw----   1 root utmp                 1 Dec 29 07:05 btmp.1
-rw-r--r--   1 root root             20296 Dec 29 08:11 dpkg.log
-rw-r--r--   1 root root              4483 Nov 25 13:43 dpkg.log.1
-rw-r--r--   1 root root              4804 Oct 26 11:54 dpkg.log.2.gz
-rw-r-----   1 root adm              43532 Dec 29 09:25 fail2ban.log
drwxr-sr-x+  3 root systemd-journal   4096 Dec 29 06:49 journal
-rw-rw-r--   1 root utmp            292292 Dec 29 09:27 lastlog
drwx------   2 root root              4096 Oct 26 09:36 private
lrwxrwxrwx   1 root root                39 Oct 26 09:36 README -> ../../usr/share/doc/systemd/README.logs
drwxr-xr-x   3 root root              4096 Oct 26 09:36 runit
-rw-rw-r--   1 root utmp             43776 Dec 29 09:27 wtmp

[debilian]

naja,
da es sich wohl um einen Webserver handelt, nextcloud, wohl die des webservers...

Code: Alles auswählen

/var/log/apache2/

da MySQL wohl auch verwendet wird, kannst du diese bzw. die von mariadb auch checken.

[blacksh33p86]

Ich habe die Nginx und MariaDB nun mehrfach durchgesehen. Das MariaDB-Log ist vollkommen unauffällig.

Das Nginx-Log hat leider einen Fehler und geht nur bis 1 Tag zuvor... den Fehler im Log konnte ich zumindest beheben (https://stackoverflow.com/questions/468 ... nning-of-v)

Ich werde wohl warten müssen ob/wann der Fehler erneut auftritt.

[reox]

interessant wäre

Code: Alles auswählen

journalctl -b-1

und insbesondere alles am ende.