Wartungsarbeiten / Überwachung BlueOnyx System

Dieses Dokument soll Ihnen als VPS Besitzer als Anleitung für die Administration und Überwachung der wichtigsten Systemparameter dienen.

Die aufgeführten Tätigkeiten sollten Sie regelmässig durchführen um zu gewährleisten, dass Ihr BlueOnyx System sich jederzeit in einem optimalen Zustand befindet.

Bitte stellen Sie sicher, dass Sie im ServerAdmin unter Personal Profile | Email | Email Forwarding eine gültige Email-Adresse eingetragen haben unter der Sie die Mails für den Server Administrator empfangen können.

Ihr BlueOnyx System versucht sich jede Nacht bei einem der bekannten BlueOnyx-/Centos Repositories zu aktualisieren, falls Updates für installierte Software vorliegen. Dabei wird ein Report generiert, der Ihnen Auskunft gibt über die aktualisierte Software und deren Versionen.

Wenn keine Aktualisierungen vorhanden waren, sieht das Mail etwa so aus:

Loaded plugins: fastestmirror
Determining fastest mirrors
 * BlueOnyx: mirror.blueonyx.it
 * Solarspeed.net: k3mirror.smd.net
 * Virtual-5106R: k3mirror.smd.net
 * addons: swissmirror.silyus.net
 * base: swissmirror.silyus.net
 * extras: swissmirror.silyus.net
 * updates: mirror.switch.ch
Setting up Update Process
No Packages marked for Update

Wenn Aktualisierungen vorhanden sind und diese eingespielt wurden, sieht die Meldung in etwa so aus:

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * BlueOnyx: mirror.blueonyx.it
 * Solarspeed.net: k3mirror.smd.net
 * Virtual-5106R: k3mirror.smd.net
 * addons: swissmirror.silyus.net
 * base: swissmirror.silyus.net
 * extras: swissmirror.silyus.net
 * updates: mirror.switch.ch
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package glibc.i686 0:2.5-49.el5_5.7 set to be updated
---> Package glibc-common.i386 0:2.5-49.el5_5.7 set to be updated
---> Package nscd.i386 0:2.5-49.el5_5.7 set to be updated
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package              Arch         Version                Repository       Size
================================================================================
Updating:
 glibc                i686         2.5-49.el5_5.7         updates         5.3 M
 glibc-common         i386         2.5-49.el5_5.7         updates          16 M
 nscd                 i386         2.5-49.el5_5.7         updates         166 k

Transaction Summary
================================================================================
Install       0 Package(s)
Upgrade       3 Package(s)

Total download size: 22 M
Downloading Packages:
--------------------------------------------------------------------------------
Total                                           363 kB/s |  22 MB     01:01     
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction

  Updating       : glibc-common                                             1/6 

  Updating       : glibc                                                    2/6 

  Updating       : nscd                                                     3/6 

  Cleanup        : glibc-common                                             4/6 

  Cleanup        : nscd                                                     5/6 

  Cleanup        : glibc                                                    6/6 

Updated:
  glibc.i686 0:2.5-49.el5_5.7         glibc-common.i386 0:2.5-49.el5_5.7        
  nscd.i386 0:2.5-49.el5_5.7         

Complete!

In diesem Fall wurden 3 Pakete (glibc, glibc-common, nscd) aktualisiert.

TIP: Sie können diese Informationen grundsätzlich ignorieren, solange keine Fehlermeldung in den Update Reports erscheint.

Überprüfen Sie den Logwatch Report welchen Sie täglich per Email erhalten. Dieser ist nachfolgend anhand eines Beispiels erklärt:

  ################### Logwatch 7.3 (03/24/06) #################### 
        Processing Initiated: Thu Oct 21 05:43:03 2010
        Date Range Processed: yesterday
                              ( 2010-Oct-20 )
                              Period is day.
      Detail Level of Output: 0
              Type of Output: unformatted
           Logfiles for Host: sample-vps
  ################################################################## 

Der Logwatch Report wurde für die VPS sample-vps am 21. Oktober 2010 für 1 Tag zurück erstellt.

 --------------------- clam-update Begin ------------------------ 

 Last ClamAV update process started at Wed Oct 27 05:26:37 2010
 
 Last Status:
    main.cvd is up to date (version: 52, sigs: 704727, f-level: 44, builder: sven)
    nonblock_connect: connect timing out (30 secs)
    Can't connect to port 80 of host db.ch.clamav.net (IP: 82.195.234.148)
    Trying host db.ch.clamav.net (130.59.10.36)...
    Downloading daily-12178.cdiff [100%]
    Downloading daily-12179.cdiff [100%]
    Downloading daily-12180.cdiff [100%]
    Downloading daily-12181.cdiff [100%]
    daily.cld updated (version: 12181, sigs: 143449, f-level: 53, builder: guitar)
    bytecode.cld is up to date (version: 88, sigs: 10, f-level: 53, builder: edwin)
    Database updated (848186 signatures) from db.ch.clamav.net (IP: 130.59.10.36)
    Clamd successfully notified about the update.
 
 ---------------------- clam-update End ------------------------- 

Der Update-Dienst des Antivirus Programms clamav hat sich beim Host db.ch.clamav.net erfolgreich aktualisierte Definitionsdateien heruntergeladen und ebenfalls erfolgreich das Antivirus Programm clamav darauf aufmerksam gemacht, dass die Definition neu geladen werden müssen.

 --------------------- Clamav Begin ------------------------ 

 
 Viruses detected:
    Heuristics.Phishing.Email.SpoofedDomain: 1 Time(s)
 
 **Unmatched Entries**
 Database correctly reloaded (846951 signatures) 
 
 ---------------------- Clamav End ------------------------- 

Am überwachten Tag des Logwatch Reports wurde eine infizierte Datei/Email geloggt: Heuristics.Phishing.Email.SpoofedDomain

 --------------------- Clamav-milter Begin ------------------------ 

 
 **Unmatched Entries**
 Message from <3MFnITBQKB54EMPRQ-LMPCNJWEMMEJC.AMKxFGJGNNE8KNCP.AF@alerts.bounces.giggle.com> to <userXY> infected by Heuristics.Phishing.Email.SpoofedDomain 
 
 ---------------------- Clamav-milter End ------------------------- 

Derselbe Virus und wo dieser im Mailverkehr erkannt wurde.

 --------------------- Dovecot Begin ------------------------ 
 Dovecot disconnects:
    Inactivity: 20 Time(s)
    Logged out: 2781 Time(s)
    Logged out bytes=1006/1658: 1 Time(s)
    Logged out bytes=105/499: 1 Time(s)
    Logged out bytes=105/538: 1 Time(s)
    Logged out bytes=108236/117112: 1 Time(s)
    Logged out bytes=11070/5669795: 1 Time(s)
    Logged out bytes=11122/2123797: 1 Time(s)
    Logged out bytes=11487/88295: 1 Time(s)
    Logged out bytes=1203/2337: 1 Time(s)
    Logged out bytes=121/860: 1 Time(s)
    Logged out bytes=122/1529: 1 Time(s)
    ....

 **Unmatched Entries**
    dovecot: IMAP(user_a): Connection closed bytes=64/38566: 1 Time(s)
    dovecot: IMAP(user_a): Connection closed bytes=66/2144: 1 Time(s)
    dovecot: IMAP(user_b): Connection closed bytes=705/162916: 1 Time(s)
    dovecot: IMAP(user_c): Connection closed bytes=1437/223659: 1 Time(s)
    dovecot: IMAP(user_c): Connection closed bytes=2484/161422: 1 Time(s)
    dovecot: IMAP(user_c): Connection closed bytes=3142/87133: 1 Time(s)
    dovecot: IMAP(user_c): Disconnected in APPEND bytes=318951/10499: 1 Time(s)
    dovecot: POP3(user_xy): Connection closed top=5/18798, retr=1/6462, del=0/84, size=14090105: 1 Time(s)
    dovecot: POP3(user_xy): Connection closed: Connection reset by peer top=0/0, retr=0/0, del=0/84, size=14090105: 4 Time(s)
    dovecot: POP3(user_xy): Connection closed: Connection reset by peer top=1/4388, retr=1/147919, del=0/82, size=12873093: 1 Time(s)
    dovecot: POP3(user_m): Connection closed top=0/0, retr=5/151402, del=0/163, size=30118893: 1 Time(s)
    dovecot: imap-login: Aborted login (auth failed, 1 attempts): user=<user_abc>, method=PLAIN, rip=xx.xx.xx.138, lip=194.209.105.77: 3 Time(s)
    dovecot: imap-login: Aborted login (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured: 96 Time(s)
    dovecot: pop3-login: Aborted login (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured: 96 Time(s)
 ---------------------- Dovecot End ------------------------- 

Die Logauswertung des Mailservers gibt Ihnen detailierte Informationen über Client-Verbindungen zu Ihrem Mailserver per POP resp. IMAP in den letzten 24 Std.

TIP: In der Regel können Sie diesen Report getrost ignorieren, ausser es zeigen sich ungewöhnliche Muster oder Sie klären zurzeit ein Problem mit den Maildiensten für Clients ab, in diesem Fall können diese Informationen hilfreich sein.

 --------------------- httpd Begin ------------------------ 
   400 Bad Request
       /../en/intro-en.html: 1 Time(s)
       /../fr/intro-fr.html: 1 Time(s)

   403 Forbidden
       /user/120/edit: 1 Time(s)
       /user/265/edit: 1 Time(s)
       /user/270/edit: 1 Time(s)
       /user/271/edit: 1 Time(s)
       /user/272/edit: 1 Time(s)
       /user/274/edit: 1 Time(s)
       /user/275/edit: 1 Time(s)
       /user/277/edit: 1 Time(s)
       /user/278/edit: 1 Time(s)
       /user/281/edit: 1 Time(s)
       /user/282/edit: 1 Time(s)
       /user/290/edit: 1 Time(s)

 Requests with error response codes
    404 Not Found
       //phpMyAdmin/: 1 Time(s)
       //phpmyadmin/: 1 Time(s)
       /favicon.ico: 1 Time(s)
       /install/:///admin/index.php: 1 Time(s)
       /install/:///index.php: 1 Time(s)
 
 ---------------------- httpd End ------------------------- 

Fehlermeldungen mit Status Code des Webservers, welche per RFC in verschiedene Gruppen eingeteilt sind:

• 1xx Informelle Status Codes
• 2xx Status Codes für Erfolgsmeldungen
• 3xx Status Codes für Umleitungen
• 4xx Status Codes für Client Fehler
• 5xx Status Codes für Server Fehler

Speziell interessant für Sie als Betreiber sind folgende Status Codes:

• 403 [forbidden] : Diese zeigen an, dass versucht wurde auf eine Resource zuzugreifen, für die der Zugriff nicht erlaubt ist.
• 404 [notfound] : Diese zeigen Aufrufe für Seiten die auf Ihrem Server nicht existieren, häufen sich hier Aufrufe für eine nixtexistierende Seite lohnt sich ev. die Suche nach dem falschen Verweis auf die nichtexistierende Seite.
• 5xx Alle Status Codes im Bereich 500-599 deuten auf ein Problem mit den von Ihnen betriebenen Web-Applikationen resp. Serversoftware hin. Bei häufigem Auftreten eines Fehlers sollte dieser unbedingt abgeklärt werden.

Eine detailierte Liste aller HTTP-Status Codes finden Sie hier

 --------------------- pam_unix Begin ------------------------ 

 sshd:
    Authentication Failures:
       unknown (1.1.202.35): 8 Time(s)
       root (1.1.202.35): 7 Time(s)
    Invalid Users:
       Unknown Account: 8 Time(s)
 
 
 ---------------------- pam_unix End ------------------------- 

Die IP 1.1.202.35 hat insgesamt 15mal versucht mit einem Account am Server per SSH anzumelden. Davon 8mal als User root und 7mal mit einem dem Server unbekannten Usernamen.

 --------------------- proftpd-messages Begin ------------------------ 

 
 **Unmatched Entries**
 194.209.105.xx (194.209.105.xx[194.209.105.xx]) - Preparing to chroot to directory '/home/.sites/81/site18' 
 194.209.105.xx (212.xx.xx.xx[212.xx.xx.xx]) - Preparing to chroot to directory '/home/.sites/48/site10' 
 
 ---------------------- proftpd-messages End ------------------------- 

Die Verbindungen zum FTP-Server in den letzten 24 Std., in der Regel können Sie diese Information ebenfalls ignorieren.

 --------------------- Connections (secure-log) Begin ------------------------ 

 
 Refused Connections:
    Service sshd:
       1.1.202.35: 497 Time(s)
 
 ---------------------- Connections (secure-log) End ------------------------- 

Nach der Sperrung der IP 1.1.202.35 für die unter Server Management | Security | Login Manager eingestellte Zeitspanne, wurden weitere 497 Verbindungsversuche unternommen, die vom Server abgelehnt wurden. Offensichtlich hat diese IP erfolglos versucht in die BlueOnyx VPS einzubrechen.

--------------------- sendmail Begin ------------------------ 

 
 SENDMAIL CONFIGURATION
 ----------------------
 
 Aliases database out of date 1605 Time(s)
 
 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS
 ------------------------------------------
 
 WARNING!!!!  Possible Attack:
    Attempt from athedsl-84305.home.lenet.tr [1.2.82.159] with:
       command=NOOP, count=20: 1 Time(s)
 	Total:  1 Time(s)
 
 **Unmatched Entries**
    Milter: data, reject=550 5.7.1 Blocked by SpamAssassin: 485 Time(s)
    STARTTLS=server, relay=cressida.domain.ch [2.1.137.11], field=cn_issuer, status=failed to extract CN: 10 Time(s)
    STARTTLS=client, relay=mail.domainXY.com., field=cn_issuer, status=failed to extract CN: 3 Time(s)
    STARTTLS=server, relay=mail3.providerX.net [1.2.197.33], field=cn_issuer, status=failed to extract CN: 1 Time(s)
 
 ---------------------- sendmail End ------------------------- 

In diesem Bereich sehen Sie die aussergewöhnlichen Ereignisse des SMTP Dienst sendmail auf Ihrem Server, in diesem Fall konkret:

• Die Alias Database des SMTP Servers ist nicht synchron mit der Quelldatei. Das ist in der Regel nicht gravierend, Sie können aber dieses Problem einfach beheben, in dem Sie in einer Shell folgenden Befehl eingeben um die Datenbank zu aktualisieren:

newaliases

• Der Computer athedsl-84305.home.lenet.tr [1.2.82.159] hat in einer Verbindung 20mal das NOOP Kommando gesendet, was zum Offenhalten der Verbindung gedacht ist und im Laufe einer normalen Übertragung normalerweise nicht vorkommt.
• 485 eingehende Mailverbindungen wurden vom Spamschutz Programm spamassassin von vorneherein abgelehnt.
• In 11 Fällen (10mal und 1mal) wurde versucht ein Mail per TLS zu übermittlen was wegen fehlerhafter Zertifikate/Schlüssel der Gegenseite scheiterte. (Die Übertragung erfolgt dann im Klartext)
• In 3 Fällen wurde versucht ein Mail per TLS an einen Drittserver zu übermitteln, auch hier scheiterte die verschlüsselte Übertragung an falschen oder fehlenden Zertifikaten/Schlüsseln.

INFO: Programme wie spamassassin oder clamav resp. clamav-milter sind auf Ihrem System nur vorhanden, wenn Sie das entsprechende Paket (AV-Spam v5 zu BlueOnyx VPS ) erworben haben.

 --------------------- SSHD Begin ------------------------ 

 
 Failed logins from:
    1.1.202.35 (mail.xsreal.com): 122 times
 
 Illegal users from:
    1.1.202.35 (mail.xsreal.com): 390 times
 
 Users logging in through sshd:
    root:
       194.209.105.61 (backup1.vps.tisnet.ch): 2 times
 
 
 Received disconnect:
    11: Bye Bye : 512 Time(s)
 
 **Unmatched Entries**
 Address 1.1.202.35 maps to mail.nowhere.tld, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! : 512 time(s)
 
 ---------------------- SSHD End ------------------------- 

Von der IP 1.1.202.35 wurden 122 gescheiterte Loginversuche (mit gültigen Usernamen) registriert. Ebenfalls wurden von der gleichen IP 1.1.202.35 390 gescheiterte Loginversuche mit üngültigen Usernamen registriert. Das Backupsystem backup1.vps.tisnet.ch hat sich zweimal als root verbunden um Sicherungen vorzunehmen.

 --------------------- yum Begin ------------------------ 

 
 Packages Updated:
    sudo-1.7.2p1-9.el5_5.i386
 
 ---------------------- yum End ------------------------- 

Die automatische Software Aktualisierung yum hat in den letzten 24 Stunden das Paket sudo für i386 Rechner auf die Version 1.7.2p1-9.el5_5.i386 aktualisiert.

 --------------------- Disk Space Begin ------------------------ 

 Filesystem            Size  Used Avail Use% Mounted on
 /dev/simfs             20G  1.6G   19G   8% /
 
 
 ---------------------- Disk Space End ------------------------- 

Der benutzte Speicherplatz des Servers liegt bei 1.6GB, was 8% von 20GB entspricht. Achten Sie darauf, dass Ihr Server nie mehr als 80-85% des verfügbaren Speicherplatzes belegt.

 ###################### Logwatch End ######################### 

etc/cron.daily/freshclam:

WARNING: Ignoring deprecated option --log-verbose
/etc/cron.daily/logrotate:

/usr/bin/analog: analog version 5.32/Unix
/usr/bin/analog: Warning L: Large number of corrupt lines in logfile stdin:
  turn debugging on or try different LOGFORMAT
  (For help on all errors and warnings, see docs/errors.html)
    Current logfile format:
      %v %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r%wHTTP%j" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r%wHTTP%j" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%r" %c %b "%f" "%B"\n
/usr/bin/analog: analog version 5.32/Unix
/usr/bin/analog: Warning L: Large number of corrupt lines in logfile stdin:
  turn debugging on or try different LOGFORMAT
  (For help on all errors and warnings, see docs/errors.html)
    Current logfile format:
      %v %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r%wHTTP%j" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r%wHTTP%j" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%j%w%r" %c %b "%f" "%B"\n
      %S %j %u [%d/%M/%Y:%h:%n:%j] "%r" %c %b "%f" "%B"\n

Dieses Mail wird erstellt, wenn nächtlich die Logdateien rotiert und ausgewertet werden. Einige Logfiles koennen aufgrund Ihres Formats nicht vom verarbeitenden Programm analog nicht ausgewertet, aber gleichwohl ordnungsgemäss rotiert werden was obige Fehlermeldung generiert. Sie können diese Fehlermeldung getrost ignorieren oder sehen Sie hier für eine mögliche Lösung: http://mail.blueonyx.it/pipermail/blueonyx/2009-December/003097.html

INFO: Programme wie spamassassin oder clamav resp. clamav-milter sind auf Ihrem System nur vorhanden, wenn Sie das entsprechende Paket (AV-Spam v5 zu BlueOnyx VPS ) erworben haben.

• Überprüfen des MySQL Backup-Reports (falls Sie das Tool einsetzen) auf Fehlermeldungen

• Überprüfen das verfügbaren Speicherplatzes aller Sites und User im ServerAdmin unter Usage Information | Disk | Sites resp. User:

oder am Ende des täglichen Logwatch Reports.