Hilfe! dringend ISPConfig3 nicht erreichbar nach NS änderung

luna24

New Member
Hallo,
ich hab dummerweise im CP unter Servereinstellungen NS von 192.168.0.2
auf ns.inwx.de geändert - shit, komme nun nicht mehr auf meinen Server.
Auch nicht mit dem Terminal!
Ich bin beim Hetzner und kann ein Rescuesystem booten - aber wo
trage ich die alten ip's ein ?
Danke im voraus!:cool:
 

Till

Administrator
Wenn Du mit NS das Feld nameserver meinst, dann steht das in der Datei /etc/resolv.conf. Aber eine Änderung der nameserver kann an sich nicht dafür sorgen, dass der Server unerreichbar wird. Bist Du sicher dass Du nicht noch irgend was anderes umgestellt hast?
 

luna24

New Member
Sicher nichts anderes geändert

Hi,
nein ich habe nur die beiden 192er mit den inwx geändert übernommen und weg war die verbindung uff ! Ebenso mit dem Terminal keine Verbindung mehr möglich. schluck!
 

Till

Administrator
Start mal das Hetzner rescue system, ggf mit hartem reboot über das Hetzner Interface. Dann mounte mal die festplatte (falls das rescuesystem das nicht schon gemacht hat). Nähere infos findest Du im Hetzner Wiki. Dann scha mal in die Datei /etc/resolv.conf mit einem Editor, dort sollte etwas in der Art drin stehen:

Code:
### Hetzner Online AG installimage
# nameserver config
nameserver 213.133.100.100
nameserver 213.133.98.98
nameserver 213.133.99.99
 

luna24

New Member
Netzwerkkonfiguration Hacken - Ja - kratz-kratz !
IP ist eine 78.46er .
Debian 6 32bit + ISPConfig 3

Code:
 1 # This file describes the network interfaces available on your system
 2 # and how to activate them. For more information, see interfaces(5).
 3 
 4 # The loopback network interface
 5 auto lo
 6 iface lo inet loopback
 7 
 8 # The primary network interface
 9 auto eth0
10 iface eth0 inet static
11         address 78.46.34.9
12         netmask 255.255.255.0
13         network 78.46.34.0
14         broadcast 78.46.34.255
15         gateway 192.168.0.1
16
 

Till

Administrator
Poste mal bitte die Ausgabe von

df -h

damit wir sehen können wie die Platten eingehängt sind.
 

mattula

Member
Code:
 8 # The primary network interface
 9 auto eth0
10 iface eth0 inet static
11         address 78.46.34.9
12         netmask 255.255.255.0
13         network 78.46.34.0
14         broadcast 78.46.34.255
15         gateway 192.168.0.1
16

Ist das nun die Konfig deines Rescue Systems, oder die des eigentlichen Systems? Siehe meine Frage bzgl. Mountpoint im Rescue System.

Es ist auch immer hilfreich die Quelle (in dem Fall den kompletten Pfad) und ueberhaupt alle hilfreichen Infos gleich mit anzugeben, sonst ist das mehr Raetselraten als sonstwas.
 

luna24

New Member
Code:
root@rescue /mnt/rescue # df -h
Filesystem            Size  Used Avail Use% Mounted on
rootfs                1.6G  504K  1.6G   1% /
tmpfs                  10M  108K  9.9M   2% /dev
/dev/md2              368G  1.9G  347G   1% /mnt/rescue
/dev/md1              496M   30M  441M   7% /mnt
/dev/md2              368G  1.9G  347G   1% /mnt/rescue
 

mattula

Member
Mit

route -n

im Rescue System solltest du das Gateway sehen, welches in die /etc/network/interfaces reingehoert.
 

luna24

New Member
thx!

Ich habe gerade gelesen das im Okt. 2011 Hetzner gehackt wurde!
Da mir in der letzten Zeit einige seltsame Dinge passiert sind wie ein webverzeichnis gelöscht , .log Dateien fehlen teilweise und dann glaub ich auch nicht daran das das ändern der zwei einträge den ganzen Server unerreichbar macht. Wie auch immer werde ich ihn neu aufsetzen.
Vielen Dank nochmals für den irrschnellen support:cool: !

Ach ja, ich habe auch festgestellt das eine Domain www.thefource.net auf meine IP verweist(jetzt nicht da Server down) !? Habe das Hetzner mitgeteilt und auch mit dem Inhaber der Domain telefoniert - will das ändern und meint hätte das nicht gewusst.
Kann das sein vor allem wenn in log ersichtlich das 20-30 Personen alle gleichzeitig auf verschiedene sub.thefource.net zugegriffen haben .
Und dann ist der Inhaber der Domain so wie ich Wiener !

Alle diese Menschen sind IT-Profis mit Firmen in Wien und weiteren Domains wie justbecausewecan.net auch auf meine IP ?

Sollte ich paranoid werden ?

Und wie kann ich dies' unterbinden?

LG aus Wien
 

Till

Administrator
Ich würde mir da nicht zu große Sorgen machen, denn das Ganze kann auch andere Ursachen haben. Eine IP ist ja sozusagen immer "gebraucht", d.h. auch eine Feste IP wurde in den meisten Fällen bereits vorher schonmal von irgend jemand verwendet und es kann also sein dass immer noch andere Domains darauf verweisen. Viele Firmen, gerade im IT Bereich, haben ein recht großes Domain Portfolio und wenn Die dann mal einen Server umziehen, dann kann es durchaus sein dass mal ein paar Domains vergessen werden und sie weiter auf die alte IP verweisen.

Unterbinden kannst Du es ürigens nicht, denn es findet im DNS keine Verifikation durch eine übergeordnete Instanz statt, ob eine IP auch dem Domaininhaber zugeordnet ist.

Die Unerreichbarkeit Deines Server lag wahrscheinlich am falschen Gateway eintrag, denn wenn das Gateway falsch eingestellt ist "verschwindet" der Server aus dem Netz, da er dann alle Pakete die in das Internet zurück geschickt werden sollen an eine falsche Adresse sendet und sie verloren gehen.

Wenn Du Dich aber sicherer dabei fühlst, dann installier den Server ruhig neu wenn Du alles gesichert hast. Ansonsten würde ich Dir raten nochmal einen manuellen Lauf von rkhunter zu starten und zu sehen ob dort alles ok ist.
 

luna24

New Member
Ja dies IP wurde von denen vor mir beim Hetzner benutzt.
Ich habe eh schon mit allen telefoniert und 2 sind schon weg.
Die anderen 2 hab ich einfach 2 webverz. angelegt und auf google umgeleitet:D.

Und zur Unerreichbarkeit lag es ganz sicher am Gateway - aaaber ...
Hetzner wurde um den 6. Oktober gehackt und sehr viele passwörter sind ausgelesen worden.
Und siehe da ab genau diesem Zeitpunkt waren die logs weg ! Das eine Webverzeichnis hat derjenige warscheinlich selbst gelöscht und nichts gesagt . Aber dadurch bin ich ja auch erst aufmerksam geworden.

Auch war in einer Networks datei,weiss leider nicht mehr welche aber die mit nur 3 Einträgen (loopback 127.0.0.ect.) - waren bei mir 4 davon eine
mit einer ganz anderen 88er IP !

Nun neu aufgesetzt und da schaut das wieder ganz anders aus :)
Da war ganz sicher was aber da ich den Server ganz alleine für max. 5 CMS als Hobby und Neugierde betreibe kann mir da nicht viel wegkommen.

Zumindest hab ich dazugelernt das man sich zumindest regelmäßig die logs anschaut,updates macht und das System regelmäßig mit rkhunter
scannt. Mal wieder ein paar Bücher lesen bez. Security und dergleichen.

Danke nochmal :cool:
 

Werbung

Top