# Hilfe! dringend ISPConfig3 nicht erreichbar nach NS änderung



## luna24 (2. Jan. 2012)

Hallo,
ich hab dummerweise im CP unter Servereinstellungen NS von 192.168.0.2
auf ns.inwx.de geändert - shit, komme nun nicht mehr auf meinen Server.
Auch nicht mit dem Terminal!
Ich bin beim Hetzner und kann ein Rescuesystem booten - aber wo
trage ich die alten ip's ein ?
Danke im voraus!


----------



## Till (2. Jan. 2012)

Wenn Du mit NS das Feld nameserver meinst, dann steht das in der Datei /etc/resolv.conf. Aber eine Änderung der nameserver kann an sich nicht dafür sorgen, dass der Server unerreichbar wird. Bist Du sicher dass Du nicht noch irgend was anderes umgestellt hast?


----------



## luna24 (2. Jan. 2012)

*Sicher nichts anderes geändert*

Hi,
nein ich habe nur die beiden 192er mit den inwx geändert übernommen und weg war die verbindung uff ! Ebenso mit dem Terminal keine Verbindung mehr möglich. schluck!


----------



## Till (2. Jan. 2012)

Start mal das Hetzner rescue system, ggf mit hartem reboot über das Hetzner Interface. Dann mounte mal die festplatte (falls das rescuesystem das nicht schon gemacht hat). Nähere infos findest Du im Hetzner Wiki. Dann scha mal in die Datei /etc/resolv.conf mit einem Editor, dort sollte etwas in der Art drin stehen:


```
### Hetzner Online AG installimage
# nameserver config
nameserver 213.133.100.100
nameserver 213.133.98.98
nameserver 213.133.99.99
```


----------



## luna24 (2. Jan. 2012)

Genau das steht drin. Aber nach einem Neustart wieder nicht erreichbar


----------



## mattula (2. Jan. 2012)

Zitat von luna24:


> Genau das steht drin. Aber nach einem Neustart wieder nicht erreichbar


Du hast nicht zufaelig auch bei "Netzwerkkonfiguration" ein Haekchen gesetzt
und unter IP Adresse steht auch noch eine 192.168.er IP?


Ist das ein Debian/Ubuntu Root Server?

Was steht in /etc/network/interfaces ?


----------



## mattula (2. Jan. 2012)

Zitat von mattula:


> Was steht in /etc/network/interfaces ?


Moment .. wenn das ein Rescue System ist, dann ist deine eigentliche Platte bestimmt unter einem anderen Moutpoint eingehaengt.

Also nicht unter /etc/... sondern  unter 
/ERSETZE_DURCH_MOUNTPOUNT/etc/.. 
gucken und ggfs. editieren.


----------



## luna24 (2. Jan. 2012)

Netzwerkkonfiguration Hacken - Ja - kratz-kratz !
IP ist eine 78.46er .
Debian 6 32bit + ISPConfig 3


```
1 # This file describes the network interfaces available on your system
 2 # and how to activate them. For more information, see interfaces(5).
 3 
 4 # The loopback network interface
 5 auto lo
 6 iface lo inet loopback
 7 
 8 # The primary network interface
 9 auto eth0
10 iface eth0 inet static
11         address 78.46.34.9
12         netmask 255.255.255.0
13         network 78.46.34.0
14         broadcast 78.46.34.255
15         gateway 192.168.0.1
16
```


----------



## Till (2. Jan. 2012)

Poste mal bitte die Ausgabe von

df -h

damit wir sehen können wie die Platten eingehängt sind.


----------



## mattula (2. Jan. 2012)

Zitat von luna24:


> ```
> 8 # The primary network interface
> 9 auto eth0
> 10 iface eth0 inet static
> ...


Ist das nun die Konfig deines Rescue Systems, oder die des eigentlichen Systems? Siehe meine Frage bzgl. Mountpoint im Rescue System.

Es ist auch immer hilfreich die Quelle (in dem Fall den kompletten Pfad) und ueberhaupt alle hilfreichen Infos gleich mit anzugeben, sonst ist das mehr Raetselraten als sonstwas.


----------



## Burge (2. Jan. 2012)

Im Zweifel sieht das Gateway sehr seltsam aus was soll denn die Private ip da drin?


----------



## luna24 (2. Jan. 2012)

```
root@rescue /mnt/rescue # df -h
Filesystem            Size  Used Avail Use% Mounted on
rootfs                1.6G  504K  1.6G   1% /
tmpfs                  10M  108K  9.9M   2% /dev
/dev/md2              368G  1.9G  347G   1% /mnt/rescue
/dev/md1              496M   30M  441M   7% /mnt
/dev/md2              368G  1.9G  347G   1% /mnt/rescue
```


----------



## mattula (2. Jan. 2012)

Zitat von Burge:


> Im Zweifel sieht das Gateway sehr seltsam aus was soll denn die Private ip da drin?


Stimmt, jetz sehe ich es auch - das Gateway kann gar nicht sein. Zumindest nicht in Verbindung mit der IP.


----------



## mattula (2. Jan. 2012)

Mit 

route -n

im Rescue System solltest du das Gateway sehen, welches in die /etc/network/interfaces reingehoert.


----------



## mattula (2. Jan. 2012)

Zitat von mattula:


> Mit
> 
> route -n
> 
> im Rescue System solltest du das Gateway sehen, welches in die /etc/network/interfaces reingehoert.


Und vor dem Neustart am Besten noch den ISPConfig Cron Job temporaer deaktivieren, der dir sonst innerhalb 60 Sekunden die Konfig wieder ueberschreibt:

$EDITOR /var/spool/cron/crontabs/root


----------



## luna24 (2. Jan. 2012)

*thx!*

Ich habe gerade gelesen das im Okt. 2011 Hetzner gehackt wurde!
Da mir in der letzten Zeit einige seltsame Dinge passiert sind wie ein webverzeichnis gelöscht , .log Dateien fehlen teilweise und dann glaub ich auch nicht daran das das ändern der zwei einträge den ganzen Server unerreichbar macht. Wie auch immer werde ich ihn neu aufsetzen.
Vielen Dank nochmals für den irrschnellen support !

Ach ja, ich habe auch festgestellt das eine Domain www.thefource.net auf meine IP verweist(jetzt nicht da Server down) !? Habe das Hetzner mitgeteilt und auch mit dem Inhaber der Domain telefoniert - will das ändern und meint hätte das nicht gewusst.
Kann das sein vor allem wenn in log ersichtlich das 20-30 Personen alle gleichzeitig auf verschiedene sub.thefource.net zugegriffen haben . 
Und dann ist der Inhaber der Domain so wie ich Wiener !

Alle diese Menschen sind IT-Profis mit Firmen in Wien und weiteren Domains wie justbecausewecan.net auch auf meine IP ?

Sollte ich paranoid werden ?

Und wie kann ich dies' unterbinden?

LG aus Wien


----------



## Till (3. Jan. 2012)

Ich würde mir da nicht zu große Sorgen machen, denn das Ganze kann auch andere Ursachen haben. Eine IP ist ja sozusagen immer "gebraucht", d.h. auch eine Feste IP wurde in den meisten Fällen bereits vorher schonmal von irgend jemand verwendet und es kann also sein dass immer noch andere Domains darauf verweisen. Viele Firmen, gerade im IT Bereich, haben ein recht großes Domain Portfolio und wenn Die dann mal einen Server umziehen, dann kann es durchaus sein dass mal ein paar Domains vergessen werden und sie weiter auf die alte IP verweisen.

Unterbinden kannst Du es ürigens nicht, denn es findet im DNS keine Verifikation durch eine übergeordnete Instanz statt, ob eine IP auch dem Domaininhaber zugeordnet ist.

Die Unerreichbarkeit Deines Server lag wahrscheinlich am falschen Gateway eintrag, denn wenn das Gateway falsch eingestellt ist "verschwindet" der Server aus dem Netz, da er dann alle Pakete die in das Internet zurück geschickt werden sollen an eine falsche Adresse sendet und sie verloren gehen.

Wenn Du Dich aber sicherer dabei fühlst, dann installier den Server ruhig neu wenn Du alles gesichert hast. Ansonsten würde ich Dir raten nochmal einen manuellen Lauf von rkhunter zu starten und zu sehen ob dort alles ok ist.


----------



## luna24 (3. Jan. 2012)

Ja dies IP wurde von denen vor mir beim Hetzner benutzt.
Ich habe eh schon mit allen telefoniert und 2 sind schon weg.
Die anderen 2 hab ich einfach 2 webverz. angelegt und auf google umgeleitet.

Und zur Unerreichbarkeit lag es ganz sicher am Gateway - aaaber ...
Hetzner wurde um den 6. Oktober gehackt und sehr viele passwörter sind ausgelesen worden. 
Und siehe da ab genau diesem Zeitpunkt waren die logs weg ! Das eine Webverzeichnis hat derjenige warscheinlich selbst gelöscht und nichts gesagt . Aber dadurch bin ich ja auch erst aufmerksam geworden.

Auch war in einer Networks datei,weiss leider nicht mehr welche aber die mit nur 3 Einträgen (loopback 127.0.0.ect.)  - waren bei mir 4 davon eine 
mit einer ganz anderen 88er IP ! 

Nun neu aufgesetzt und da schaut das wieder ganz anders aus 
Da war ganz sicher was aber da ich den Server ganz alleine für max. 5 CMS als Hobby und Neugierde betreibe kann mir da  nicht viel wegkommen. 

Zumindest hab ich dazugelernt das man sich zumindest regelmäßig die logs anschaut,updates macht und das System regelmäßig mit rkhunter
scannt. Mal wieder ein paar Bücher lesen bez. Security und dergleichen.

Danke nochmal


----------

