Hetzner - DokuWiki

Leitfaden bei Serversperrung

Inhaltsverzeichnis

Serversperrung

In machen Fällen sind wir gezwungen, Server zu sperren. Falls Ihr Server gesperrt wird, dann werden Sie von uns per E-Mail benachrichtigt.

Wenn Sie keine E-Mail bekommen haben oder nicht wissen, ob Ihr Server tatsächlich gesperrt wurde, dann können Sie uns eine Support-Anfrage aus dem Robot schreiben.

Alternativ können Sie einen Traceroute zu Ihrem Server durchführen. Wenn Traceroute beim ersten Router von Hetzner endet, dann wurde Ihr Server gesperrt. Unsere Router haben z.B. folgende Bezeichnung "(uplink)-gw.hetzner.de". Unter Windows ist Traceroute als tracert.exe aufrufbar. Bei Linux hingegen können Sie mit dem Befehl traceroute die gewünschte Diagnose starten.

Ursachen von Serversperrung

Die häufigsten Ursachen für die Sperrung eines Servers sind:

  • Attacken von/auf Ihrem/n Server
  • Beeinträchtigung des Netzwerks durch Portscans
  • Fehlerhafte Netzwerkkonfiguration
  • Nichtbezahlung von offenen Rechnungen
  • Abuse (z.B. Veröffentlichung von Phishing Seiten/Malware/Urheberrechtsverletzung usw.)

Die Sperrungen werden zum einen aus Gründen der Netzwerkstabilität durchgeführt, zum anderen um den Serverinhaber zu schützen bzw. um weitere Abuse Meldungen zu vermeiden.

Um die Ursachenanalyse der Sperrung für den Kunden zu erleichtern, wird in der entsprechenden Informationsmail ein Logfile angefügt, welches über die genaueren Gründe der Sperrung informiert. Bitte beachten Sie, dass wir keine weiteren Logs oder Informationen haben. Wir haben keinen Zugang zum Server und können deshalb auch nicht prüfen, wo das Problem liegt. Bitte prüfen Sie die Log Dateien direkt auf Ihrem Server und Sie müssen sie auch selbstständig auswerten.

Log Dateien

Information über Port-/Netscans

###################################################################
#          Netscan detected from host   x.x.x.x                   #
###################################################################

time                        src_ip		  dest_ip:dest_port
-------------------------------------------------------------------
Thu Nov 13 18:14:27 2013:   x.x.x.x =>         65.98.236.0:   22
Thu Nov 13 18:14:27 2013:   x.x.x.x =>         65.98.236.1:   22
Thu Nov 13 18:14:27 2013:   x.x.x.x =>         65.98.236.2:   22
Thu Nov 13 18:14:27 2013:   x.x.x.x =>         65.98.236.3:   22
.....

Bei diesem Log werden nur die ausgehenden Verbindungen angezeigt und genauer beschrieben, zu welcher Ziel-IP bzw. Ziel-Port die Verbindungen gehen. So lässt sich die Ursache leichter ermitteln.

Zusammenfassende Meldung über Paketlimitüberschreitungen

Direction OUT
Internal 178.63.65.85
Threshold Packets 100.000 packets/s
Sum                     40.674.000 packets/300s (135.580 packets/s),  40.673 flows/300s (135 flows/s),  5,909 GByte/300s (161 MBit/s)
External 77.96.88.114,  40.668.000 packets/300s (135.560 packets/s),  40.667 flows/300s (135 flows/s),  5,909 GByte/300s (161 MBit/s)
External 196.37.186.67,  5.000 packets/300s (16 packets/s),                5 flows/300s (0 flows/s),    0,000 GByte/300s (0 MBit/s)
External 77.74.52.53,    1.000 packets/300s (3 packets/s),                 1 flows/300s (0 flows/s),    0,000 GByte/300s (0 MBit/s)

In diesem Log wird nicht jede Verbindung einzeln aufgeführt, sondern eine Zusammenfassung des Traffics pro Ziel-IP erstellt. Dabei kann man den verursachten Traffic, die Anzahl der Verbindungen und die dabei auftretenden Paketraten einsehen.

Detaillierter Traffic Dump

21:44:53.145756 IP x.x.x.x.55008 > 76.9.23.182.29615: UDP, length 9216
21:44:53.145883 IP x.x.x.x.55030 > 76.9.23.182.45527: UDP, length 9216
21:44:53.146007 IP x.x.x.x.55046 > 76.9.23.182.1826:  UDP, length 9216
21:44:53.146126 IP x.x.x.x.55064 > 76.9.23.182.34940: UDP, length 9216
21:44:53.146249 IP x.x.x.x.55080 > 76.9.23.182.20559: UDP, length 9216
21:44:53.146371 IP x.x.x.x.55093 > 76.9.23.182.31488: UDP, length 9216
21:44:53.146493 IP x.x.x.x.55112 > 76.9.23.182.56406: UDP, length 9216
21:44:53.146616 IP x.x.x.x.55132 > 76.9.23.182.43714: UDP, length 9216
21:44:53.146741 IP x.x.x.x.55147 > 76.9.23.182.64613: UDP, length 9216

Hierbei wird ein detaillierter Trafficdump erstellt, welcher alle eingehenden und ausgehenden Verbindungen enthält. Dabei lassen sich sowohl Verbindungsdaten (Ziel-IP, Ziel-Port), als auch Größe und Art der Pakete einsehen. Da jedes Paket angezeigt wird, ist aufgrund der hohen Menge an Daten nur ein kleiner Teil des Traffics erfasst.

Freischaltung Ihres Servers

Bevor der Server freigeschaltet werden kann, muss die Ursache für die Sperrung behoben sein. Sobald Sie die Ursache des Problems endgültig beseitigt haben, dann schicken Sie uns bitte eine Anfrage über Robot.
Gehen Sie dazu bitte auf "Anfrage" im Navigationsmenü auf der linken Seite und wählen Sie dort "Freischaltungsanfragen..." aus. Bitte wählen Sie die entsprechende Sperrung-ID aus und schicken Sie uns bitte das vollständig ausgefüllte Formular zu.

Um die Ursache für die Sperrung zu beheben, können Sie eine LARA Remote-Konsole beantragen, damit Sie vollen Zugriff auf den Server haben. Um eine LARA Remote-Konsole zu beantragen müssen Sie eine spezielle Anfrage direkt aus dem Robot senden. Dazu loggen Sie sich im Robot ein und wählen "Anfragen" und danach "Server-Anfragen" aus. Hiermit können Sie eine LARA bestellen, welche in Form einer Anfrage direkt bei den Technikern im Rechenzentrum mit Angaben zum Server ankommt.

Eine andere Möglichkeit wäre, dass Sie eine IP-Adresse bei uns hinterlegen im Robot (z.B. die IP-Adresse, die Sie von Ihrem DSL-Provider zugewiesen bekommen haben) von der aus ein Zugriff auf den gesperrten Server gewährt wird. Dazu gehen Sie bitte auf "Server" und dann "Serversperrung". Da können Sie die IP eingeben. Dies ist allerdings nicht immer möglich.

Tips zur Server Sicherheit und Analyse

Bitte schauen Sie auf der folgenden Seite im Wiki für allgemeine Informationen und Tipps zur Server Sicherheit und Analyse: Security



© 2016. Hetzner Online GmbH. Alle Rechte vorbehalten.