Kann mich nicht mehr auf debian server einloggen;nach update

[Xearox]

Hallo zusammen,

ich bin neu hier in dem Forum und habe auch kein passenden Ort für mein Problem gefunden.
Vorweg, ich bin auch neu, was die Server verwaltung an geht.

"Es geht hier um Debian 6.0"

Und zwar nutze ich einen VRoot Server, ich kann mich mit VNC auf den Server einloggen mittels KVM.

So nun hab ich aber ein dickes Problem, was unabhängig von VNC oder sonst was ist.

Ich habe gestern verschiedene Updates gestartet, da ich täglich über Webmin informiert werde, ob updates vorhanden sind.

So nun zu meinem eigentlichen Problem. Ich kann mich nicht mehr einloggen und der Server scheint auch nicht mehr so zu laufen, wie vorher.

In den IPTables hab ich eingestellt, das alle IPs für den Zugang für SSH blockiert werden bis auf meine IP, da ich eine IP habe bzw. welche sich nur alle paar Monate ändert.
Falls sich meine IP ändert, kann ich mich immer noch per VNC einloggen und die IP in den IPTables ändern.

So, nun hat sich meine IP heute geändert, wollte nun via VNC auf den Server drauf. Allerdings kann ich mich nicht mehr einloggen, wieso auch immer.
Weder das Root Passwort funktioniert noch mein Nutzer name, darüber hinaus kann ich mich mit putty auf den server verbinden, obwohl dies eigentlich nicht möglich ist, da ich eine ganz andere ip habe.
Dies habe ich mit dem Tool Hotspot Shield getestet und mich mit einer Amerikanischen IP via putty mit dem Server verbunden. Es kam direkt "Login:" wie gesagt, normaler weise ist dies nicht möglich.

Wie schon erwähnt, das einloggen via. VNC noch via Putty ist möglich.
root sollte via putty garnicht erstmöglich sein, aber die IPTables scheinen nicht mehr verfügbar zu sein.

Anbei eine Liste mit allen Updates, welche ich via Webmin gemacht habe. Vielleicht entdeckt ihr etwas, was mir als Newbie nicht aufgefallen ist.

Code: Alles auswählen

An update to apt-show-versions from 0.16 to 0.16+squeeze1 is available.

An update to base-files from 6.0squeeze6 to 6.0squeeze7 is available.

An update to bind9-host from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to dbus from 1.2.24-4+squeeze1 to 1.2.24-4+squeeze2 is available.

An update to gzip from 1.3.12-9 to 1.3.12-9+squeeze1 is available.

An update to libbind9-60 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libcups2 from 1.4.4-7+squeeze2 to 1.4.4-7+squeeze3 is available.

An update to libdbus-1-3 from 1.2.24-4+squeeze1 to 1.2.24-4+squeeze2 is available.

An update to libdns69 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libisc62 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libisccc60 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libisccfg62 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libldap-2.4-2 from 2.4.23-7.2 to 2.4.23-7.3 is available.

An update to liblwres60 from 9.7.3.dfsg-1~squeeze8 to 9.7.3.dfsg-1~squeeze9 is available.

An update to libperl5.10 from 5.10.1-17squeeze4 to 5.10.1-17squeeze5 is available.

An update to linux-base from 2.6.32-46 to 2.6.32-48 is available.

An update to linux-image-2.6.32-5-amd64 from 2.6.32-46 to 2.6.32-48 is available.

An update to openssh-client from 5.5p1-6+squeeze2 to 5.5p1-6+squeeze3 is available.

An update to openssh-server from 5.5p1-6+squeeze2 to 5.5p1-6+squeeze3 is available.

An update to perl from 5.10.1-17squeeze4 to 5.10.1-17squeeze5 is available.

An update to perl-base from 5.10.1-17squeeze4 to 5.10.1-17squeeze5 is available.

An update to perl-modules from 5.10.1-17squeeze4 to 5.10.1-17squeeze5 is available.

An update to ssh from 5.5p1-6+squeeze2 to 5.5p1-6+squeeze3 is available.

Falls ich um eine Neuinstallation nicht herum komme, werde ich diese wohl oder übel machen müssen.

Liebe grüße

Xearox


Edit: Beim einloggen via VNC hat mich der Server aufgefordert, einen neuen RSA Key zu generieren, die hab ich mit "yes" bestätigt. Hab von beiden Keys schreenshots gemacht.

[Cae]

Beim einloggen via VNC hat mich der Server aufgefordert, einen neuen RSA Key zu generieren

Diese und weitere Ungereimtheiten oben lassen mich auf einen MitM-Angriff oder einen Tippfehler schliessen. Bist du sicher, mit der richtigen Kiste zu reden? Was laufen fuer Dienste auf der Maschine, ausser SSH?

root sollte via putty garnicht erstmöglich sein, aber die IPTables scheinen nicht mehr verfügbar zu sein.

Was willst du damit sagen? iptables kann nicht entscheiden, ob der gerade im Einlogvorgang befindliche User root ist oder nicht. Das kann nur der sshd bestimmen.

Was ist das fuer eine Virtualisierung? Heute Nacht kam ein Update fuer den Squeeze-Kernel rein. Falls dein Problem erst seit ein paar Stunden besteht, koennte die Maschine rebootet worden sein, wodurch die Firewall-Regeln zunaechst geleert werden. Vielleicht hat's Webmin kaputt gemacht.

Willkommen im Forum!

Gruss Cae

[Xearox]

Beim einloggen via VNC hat mich der Server aufgefordert, einen neuen RSA Key zu generieren

Diese und weitere Ungereimtheiten oben lassen mich auf einen MitM-Angriff oder einen Tippfehler schliessen. Bist du sicher, mit der richtigen Kiste zu reden? Was laufen fuer Dienste auf der Maschine, ausser SSH?

root sollte via putty garnicht erstmöglich sein, aber die IPTables scheinen nicht mehr verfügbar zu sein.

Was willst du damit sagen? iptables kann nicht entscheiden, ob der gerade im Einlogvorgang befindliche User root ist oder nicht. Das kann nur der sshd bestimmen.

Was ist das fuer eine Virtualisierung? Heute Nacht kam ein Update fuer den Squeeze-Kernel rein. Falls dein Problem erst seit ein paar Stunden besteht, koennte die Maschine rebootet worden sein, wodurch die Firewall-Regeln zunaechst geleert werden. Vielleicht hat's Webmin kaputt gemacht.

Willkommen im Forum!

Gruss Cae

Ich habe root hier mit gesperrt:

Code: Alles auswählen

/etc/ssh/sshd_config Zeile "PermitRootLogin no"

Ich habe mich via VNC eingeloggt.
Den Port und das Passwort um den Zugang zum Server zu erhalten, erhalte ich durch meinen Provider im Kundenbereich.
Daher bin ich mir ziemlich sicher, das es der Richtige Server ist, auch die Maschiene heißt genau so, wie es im Kundenbereich angezeigt wird.

Versuche ich mich über VNC als Root einzuloggen und das Passwort eingebe bekomme ich den Fehler : Login Incorrect
Nutze ich mein User mit dem von mir erstellten passwort erhalte ich den gleichen Fehler.

Ich bin die Update Liste durch gegangen, mir selber ist nur auf gefallen, das der Kernel aktuallisiert wurde, ssh und openssh server/client.
Allerdings bringt mir die Information nicht viel.

[uname]

Hast du irgendeine alternative Möglichkeit dich am System anzumelden. Wenn nicht irgendwie eine Möglichkeit die Echtheit des Systems zu prüfen. Hier könnte z.B. eine genutzte Anwendung wie ein Webserver mit deinen Inhalten hilfreich sein.
Scheinbar nutzt du VNC über SSH (wegen RSA-Key). Der Austausch der SSH-Server-Pakete führt nicht zu einem neuen Key. Die Annahme, dass der Server gehackt oder du nur auf den falschen Server zugreifst scheint plausibel. Webmin nutzt du hoffentlich auch nur über VNC über SSH (Zugriff nur localhost), denn Webmin gilt als unsicher.
Im Zweifel neu installieren und den ganzen unnötigen Administrations-Schrott des Providers weglassen. Hierzu zähle ich VNC und Webmin. Administration per SSH mit SSH-Key oder One-Time-Password von einem am besten nicht Windows-System (wegen Schadcode).

[Xearox]

Also, ich hab nun wieder zugriff auf den Server. Denn ich hab nun wieder eine IP die in den IPTables freigegeben ist.
Ich hole nun ein paar Daten aus den Logiles raus, vielleicht kann hier irgend jemand sagen, was das Problem war/ist.

Webmin, also Port 10000 ist auf IPs bebrenzt.

Linux Firewall bzw. IPTables

Code: Alles auswählen

 	Akzeptiert 	Wenn Protokoll ist TCP und Quelle ist 176.198.0.0/16 und Ziel Port ist 10000 		
	Akzeptiert 	Wenn Protokoll ist TCP und Quelle ist 62.143.0.0/16 und Ziel Port ist 10000 		
	Akzeptiert 	Wenn Protokoll ist TCP und Quelle ist 62.26.0.0/16 und Ziel Port ist 10000 		

auth.log

Code: Alles auswählen

Feb 26 05:13:06 vsrv77918 sshd[11318]: Received signal 15; terminating.
Feb 26 06:35:17 vsrv77918 sshd[1094]: Server listening on 0.0.0.0 port 22.
Feb 26 06:35:17 vsrv77918 sshd[1094]: Server listening on :: port 22.
Feb 26 06:35:18 vsrv77918 perl: pam_unix(webmin:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root
Feb 26 06:35:20 vsrv77918 webmin[1036]: Webmin starting
Feb 26 06:39:01 vsrv77918 CRON[1540]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 26 06:39:02 vsrv77918 CRON[1540]: pam_unix(cron:session): session closed for user root
Feb 26 07:09:01 vsrv77918 CRON[1688]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 26 07:09:01 vsrv77918 CRON[1688]: pam_unix(cron:session): session closed for user root
Feb 26 07:13:07 vsrv77918 sshd[1094]: Received signal 15; terminating.
Feb 26 08:20:16 vsrv77918 sshd[1026]: Server listening on 0.0.0.0 port 22.
Feb 26 08:20:16 vsrv77918 sshd[1026]: Server listening on :: port 22.
Feb 26 08:20:19 vsrv77918 perl: pam_unix(webmin:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root
Feb 26 08:20:20 vsrv77918 webmin[987]: Webmin starting
Feb 26 15:04:06 vsrv77918 sshd[3475]: Accepted password for chris from 62.143.xxx.xxx port 59709 ssh2
Feb 26 15:04:06 vsrv77918 sshd[3475]: pam_unix(sshd:session): session opened for user chris by (uid=0)
Feb 26 15:06:41 vsrv77918 perl[3510]: pam_unix(webmin:session): session opened for user root by (uid=0)
Feb 26 15:06:41 vsrv77918 webmin[3510]: Successful login as root from 62.143.xxx.xxx
Feb 26 15:09:01 vsrv77918 CRON[3703]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 26 15:09:01 vsrv77918 CRON[3703]: pam_unix(cron:session): session closed for user root

Ich scheine das Problem gefunden zu haben. Bzw. mit Hilfe von uname. Ich werde mich daher mit meinem Provider in Verbindung setzen.
Es scheint wirklich so, als wenn ich die Rettungskonsole von meinem Provider aktiviert habe, ich mich trotzdem noch via SSH einlogge, obwohl ich mir dann nicht erklären kann, wieso ich den server dann beim booten zugucken kann. Ich habe nun auf jedenfall die IP von der Rettungskonsole in der Firewall freigegeben. Werde das gleich mal testen, ob ich mich dann immer noch nicht einloggen kann.

Außerdem hier die Angabe, welche Vrituallisierung genutzt wird. Angabe vom Provider:

Code: Alles auswählen

Virtualisierung: KVM
KVM virtuelle Server (vServer)
Unsere KVM vServer sind vollvirtualisierte Systeme. Entscheidender Vorteil der Vollvirtualisierung ist die Möglichkeit der Installation von nahezu beliebigen Betriebssystemen.
Zudem steht Ihnen wahlweise das Modul virtio zur Verfügung, welches direkten Zugriff auf die Node-System Hardware bietet.

    paravirtualisierte Schnittstelle zur Hardware
    direkten Zugriff auf Festplatte und Netzwerkkarte

Wann sollte ich zu einem KVM vServer greifen ?
Wenn Sie Windows oder *BSD Betriebssysteme einsetzen und die volle Kontrolle über Ihren Kernel wünschen.

Nachtrag:
So wie das aussieht, ist das ein Problem Seitens meines Providers. Sobald ich im Kundenportal, den Server mit KVM gestartet habe, habe ich keinerlei Zugriff mehr drauf, als wenn da ein ganz anderer Server laufen würde. Ich habe den Support bereits informiert. Dieser kümmert sich darum.
Ich werde mich hier melden, sobald ich genaueres weiß.

Falls wem hier irgendwas dazu einfällt, kann dieser sich gerne melden =)

Liebe Grüße