Wer kann mir sagen, was dieser Plesk Log bedeutet?

RedGunPanda

Commander
Dabei seit
Dez. 2010
Beiträge
2.713
Hallo und guten Abend,
leider sind hier schon alle Serververantwortlichen abgezischt. Nachdem eben unsere 25 Domains down gegangen sind und sich der Server verabschiedet hat habe ich noch in die Logs geschaut. Leider hört genau hier mein Wissen auf... ich habe hier jetzt Logs vom Server liegen und sehe -> Klar, da hat einer versucht sich einzuloggen, aber was hat es mit dem MySQL - PDO connect() auf sich? Hacker? Datenbankangriffe?

Ich hoffe, mir kann jemand helfen!

Code:
[2014-08-21 11:37:20] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-08-21 11:37:22] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-08-21 11:37:25] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-08-21 11:37:27] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-08-25 12:18:10] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-01 15:15:19] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-09-01 15:15:22] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-09-01 15:15:24] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 211.110.184.45
[2014-09-04 09:36:38] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-04 09:36:49] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-04 09:36:56] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-04 09:37:04] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-12 03:49:42] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 5.231.72.221
[2014-09-12 03:49:44] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 5.231.72.221
[2014-09-12 03:49:46] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 5.231.72.221
[2014-09-12 03:49:48] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 5.231.72.221
[2014-09-12 03:49:50] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 5.231.72.221
[2014-09-15 13:50:07] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-15 13:50:16] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[2014-09-15 13:50:24] ERR [panel] [Action Log] Failed login attempt with login 'admin' from IP 213.183.181.76
[15-Sep-2014 13:54:06 Europe/Berlin] PleskUtilException: /opt/psa/admin/bin/timemng '--set-sync-time' '--time-server=atomzeit.eu' failed with message: Empty error message from utility.
file: /opt/psa/admin/plib/common_func.php3
line: 164
code: 0
trace: #0 /opt/psa/admin/plib/common_func.php3(92): util_exec('timemng', Array, Array, 'msg', NULL)
#1 /opt/psa/admin/htdocs/server/sys_time.php3(75) : runtime-created function(1): smart_exec('timemng', Array)
#2 [internal function]: __lambda_func()
#3 {main}

[2014-09-22 16:52:51] ERR [panel] SQLSTATE[HY000] [2002] No such file or directory:
0: Abstract.php:144
Zend_Db_Adapter_Pdo_Abstract->_connect()
1: Mysql.php:109
Zend_Db_Adapter_Pdo_Mysql->_connect()
2: Abstract.php:459
Zend_Db_Adapter_Abstract->query(string 'SET sql_mode = ''', array)
3: Abstract.php:238
Zend_Db_Adapter_Pdo_Abstract->query(string 'SET sql_mode = ''', array)
4: Mysql.php:19
Db_Adapter_Pdo_Mysql->query(string 'SET sql_mode = ''')
5: Abstract.php:93
CommonPanel_Application_Abstract::initDbAdapter()
6: Helper.php:150
Plesk\Session\Helper::initStorage()
7: auth.php:308
AutoPrepend->initUserSession()
8: auth.php:219
AutoPrepend->run()
9: auth.php:690
[22-Sep-2014 16:52:51 Europe/Berlin] Zend_Db_Adapter_Exception: SQLSTATE[HY000] [2002] No such file or directory
file: /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Abstract.php
line: 144
code: 2002
trace: #0 /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Mysql.php(109): Zend_Db_Adapter_Pdo_Abstract->_connect()
#1 /opt/psa/admin/externals/Zend/Db/Adapter/Abstract.php(459): Zend_Db_Adapter_Pdo_Mysql->_connect()
#2 /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Abstract.php(238): Zend_Db_Adapter_Abstract->query('SET sql_mode = ...', Array)
#3 /opt/psa/admin/plib/Db/Adapter/Pdo/Mysql.php(19): Zend_Db_Adapter_Pdo_Abstract->query('SET sql_mode = ...', Array)
#4 /opt/psa/admin/plib/CommonPanel/Application/Abstract.php(93): Db_Adapter_Pdo_Mysql->query('SET sql_mode = ...')
#5 /opt/psa/admin/plib/Session/Helper.php(150): CommonPanel_Application_Abstract::initDbAdapter()
#6 /opt/psa/admin/plib/auth.php(308): Plesk\Session\Helper::initStorage()
#7 /opt/psa/admin/plib/auth.php(219): AutoPrepend->initUserSession()
#8 /opt/psa/admin/plib/auth.php(690): AutoPrepend->run()
#9 {main}
--
#0 /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Abstract.php(129): PDO->__construct('mysql:dbname=ps...', 'admin', '$AES-128-CBC$UP...', Array)
#1 /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Mysql.php(109): Zend_Db_Adapter_Pdo_Abstract->_connect()
#2 /opt/psa/admin/externals/Zend/Db/Adapter/Abstract.php(459): Zend_Db_Adapter_Pdo_Mysql->_connect()
#3 /opt/psa/admin/externals/Zend/Db/Adapter/Pdo/Abstract.php(238): Zend_Db_Adapter_Abstract->query('SET sql_mode = ...', Array)
#4 /opt/psa/admin/plib/Db/Adapter/Pdo/Mysql.php(19): Zend_Db_Adapter_Pdo_Abstract->query('SET sql_mode = ...', Array)
#5 /opt/psa/admin/plib/CommonPanel/Application/Abstract.php(93): Db_Adapter_Pdo_Mysql->query('SET sql_mode = ...')
#6 /opt/psa/admin/plib/Session/Helper.php(150): CommonPanel_Application_Abstract::initDbAdapter()
#7 /opt/psa/admin/plib/auth.php(308): Plesk\Session\Helper::initStorage()
#8 /opt/psa/admin/plib/auth.php(219): AutoPrepend->initUserSession()
#9 /opt/psa/admin/plib/auth.php(690): AutoPrepend->run()
#10 {main}

[22-Sep-2014 16:52:51 Europe/Berlin] PHP Notice: Undefined index: PARAMETERS in /opt/psa/admin/plib/CommonPanel/Exception.php on line 266
[2014-09-22 17:17:15] ERR [panel] Attempt to change status of non-configured mail service. [domain_id = 19]
[2014-09-22 17:17:20] ERR [panel] Attempt to change status of non-configured mail service. [domain_id = 25]
[2014-09-22 17:19:12] ERR [panel] Die Domain kann nicht aktiviert werden: Entweder der Domain-Besitzer oder dessen Abonnement ist gesperrt.
[2014-09-22 17:19:12] ERR [panel] Einige der ausgewählten Domains oder Aliase wurden nicht aktiviert.<br>Die Domain kann nicht aktiviert werden: Entweder der Domain-Besitzer oder dessen Abonnement ist gesperrt.
[2014-09-22 17:19:21] ERR [panel] Die Domain kann nicht aktiviert werden: Entweder der Domain-Besitzer oder dessen Abonnement ist gesperrt.
[2014-09-22 17:19:21] ERR [panel] Einige der ausgewählten Domains oder Aliase wurden nicht aktiviert.<br>Die Domain kann nicht aktiviert werden: Entweder der Domain-Besitzer oder dessen Abonnement ist gesperrt.
[2014-09-22 17:19:29] ERR [panel] Attempt to change status of non-configured mail service. [domain_id = 19]
[2014-09-22 17:23:06] ERR [panel] Attempt to change status of non-configured mail service. [domain_id = 25]
Das ist der originallog ich habe nichts (!) verändert oder geschwärzt, so konnte ich ihn vom server ziehen. Die Auslastung war so hoch teilweise, dass wirklich gar nichts mehr ging. (16.000.000 Pakete pro Sekunde, normal sind 50) Ich habe alle DOmains deaktiviert, dann war ruhe. Nach und nach wieder aktiviert. Bis jetzt nichts verdächtiges aber E-Mails machen immer noch probleme, lassen sich nicht abrufen usw. Fail2Ban ist leider nicht installiert, mache ich morgen als erstes.

Danke vorab!
 

Epix

Lt. Junior Grade
Dabei seit
Sep. 2012
Beiträge
461
eine übliche DDos atacke...
 

RichBone

Lt. Junior Grade
Dabei seit
Okt. 2007
Beiträge
498
Hallo

mit IP-Tabels und Fail2Ban könnte man je nach Serverhardware es im Griff bekommen.

Wenn nicht musst du mit deinem Hoster/Provider sprechen ob dieser den Angriff direkt auf dem Core Router abwehren kann.

Mit freundlichen Grüßen
Martin Krüger
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Klar, da hat einer versucht sich einzuloggen, aber was hat es mit dem MySQL - PDO connect() auf sich? Hacker? Datenbankangriffe?
Vorweg: Ich hab mit Plesk nix am Hut, kann mir aber meinen Teil zusammenreimen (ich arbeite gelegentlich mit Magento, das basiert auch auf Zend)

Für mich sieht es so aus, als würde sich hier "[2014-09-22 16:52:51] ERR [panel] SQLSTATE[HY000] [2002] No such file or directory:" die Festplatte verkrümeln.
Das Zend Framework versucht, wahrscheinlich per Class Autoloader, die Abstract.php zu laden, die in Zend/Db/Adapter/Pdo/ liegt. Benötigt wird diese Abstract-Klasse wahrscheinlich von der spezifischen Implementation deiner Datenbank, MySQL. Sinngemäß "class Zend_Db_Adapter_Pdo_MySQL extends Zend_Db_Adapter_Pdo_Abstract". Irgendwas in der Art.

Wenn durch einen DDoS die Festplatte an I/O-Operationen erstickt, dann kann es durchaus sein, dass das Framework die benötigte Datei nicht inkludieren kann. Dadurch crasht der ganze Rest der Anfrage.
Ein gezielter SQL-Angriff ist es weniger. Die Frage ist eher: Hat das Error Handling korrekt funktioniert? Wenn ich mich recht erinnere können nicht korrekt abgefangene PDO-Fehler teilweise die Datenbank-Zugangsdaten wahlweise im Log oder gar im Browser ausspucken.

Kurzfristige Lösung: IP-Tables und alle Requests von den entsprechenden IPs droppen.
Mittelfristig natürlich Fail2Ban oder was ähnliches.

Was mir wirklich spanisch vorkommt: ne Rückwärts-Auflösung (dig -x IP) der 2 der IPs oben aus dem Log führt jeweils zu deutschen Anbietern. Das ist mehr als ungewöhnlich. Ne dritte führt nach Seoul, das ist wiederum verhältnismäßig realistisch, wobei ich Südkorea jetzt weniger als typisches Hackerland werte. Bei uns auf den Maschinen sind es quasi immer China, Ukraine, Kasachstan, Russland. Einmal hatten wir n wildgewordenen Hetzner-Server als Angreifer, aber der Spuk war 10 Minuten nach ner Mail an den Hetzner Abuse vorbei.
 
Top