"Connection refused"

Le
West
Bonjour la liste,

J'ai un gros soucis depuis quelques jours, j'ai à ma disposition un serveur de mail sous Debian externalisé (serveur dédié).

Des que je lance une connexion au serveur, j'ai en retour un "connexion refused", ssh,web, smtp, en telnet sur plusieurs ports.

J'ai bien sur désacttivé le firewall, Fail2ban, mais rien à faire.

Connexion avec le mode rescue, les logs n'indiquent rien de particulier mise à part tous les reboots, qui ont l'air d'etre logué jusqu'a la
fin du processus de boot, rien concernant les drops dans les logs kernel,syslog, firewall ou encore messages.

Je suis retourné à mon ancien kernel, bien que le dernier fonctionne depuis dejà plusieurs mois sans soucis (j'ai un 2eme serveur avec
quasiement la meme config, mais il n'a rien).

j'ai lancé wireshark, et lors des tentatives de connexion j'ai un beau RST,ACK juste apres mon SYN.

Je n'ai aucune autre possiblité de me connecter mise à part le mode rescue pour remonter les disques. D'ailleurs je vois pas pourquoi ca
fonctionne avec ce mode en ssh(port 22) et une fois booter normalement plus rien !!

J'ai testé plusieurs ports, ceux qui sont supposés etres ouverts sur mon serveur, et j'ai pu remarqué que la connexion se faisait sans
probleme sur le port LDAP/LDAPS.
Je n'ai réalisé le test qu'en telnet sur ldap/ldaps mais je n'avais pas de "connexion refused".


Si quelqu'un peut me donner des idées de recherche, car là je vois plus trop ou chercher, j'ai passé la nuit la dessus sans resultat, c'est
peut etre un truc tout bete, mais je suis parti dans pas mal de direction sans resultat, je prefrere donc demander de l'aide à des cerveaux
plus reposés et mieux remplis .

Merci de votre aide

++

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Raphaël RIGNIER
Le #9695681
West a écrit :
Bonjour la liste,

J'ai un gros soucis depuis quelques jours, j'ai à ma disposition un serveur de mail sous Debian externalisé (serveur dédié).

Des que je lance une connexion au serveur, j'ai en retour un "connexion refused", ssh,web, smtp, en telnet sur plusieurs ports.

J'ai bien sur désacttivé le firewall, Fail2ban, mais rien à faire.

Connexion avec le mode rescue, les logs n'indiquent rien de particulier mise à part tous les reboots, qui ont l'air d'etre logué jusqu'a la
fin du processus de boot, rien concernant les drops dans les logs kernel,syslog, firewall ou encore messages.

Je suis retourné à mon ancien kernel, bien que le dernier fonctionne depuis dejà plusieurs mois sans soucis (j'ai un 2eme serveur avec
quasiement la meme config, mais il n'a rien).

j'ai lancé wireshark, et lors des tentatives de connexion j'ai un beau RST,ACK juste apres mon SYN.

Je n'ai aucune autre possiblité de me connecter mise à part le mode rescue pour remonter les disques. D'ailleurs je vois pas pourquoi ca
fonctionne avec ce mode en ssh(port 22) et une fois booter normalement plus rien !!

J'ai testé plusieurs ports, ceux qui sont supposés etres ouverts sur mon serveur, et j'ai pu remarqué que la connexion se faisait sans
probleme sur le port LDAP/LDAPS.
Je n'ai réalisé le test qu'en telnet sur ldap/ldaps mais je n'avais pas de "connexion refused".


Si quelqu'un peut me donner des idées de recherche, car là je vois plus trop ou chercher, j'ai passé la nuit la dessus sans resultat, c'est
peut etre un truc tout bete, mais je suis parti dans pas mal de direction sans resultat, je prefrere donc demander de l'aide à des cerveaux
plus reposés et mieux remplis .

Merci de votre aide

++




Bonjour,

Le réseau et la carte ont l'air de fonctionner. Le "connexion refused"
correspond à un service qui ne tourne pas.
Je pense qu'il faut regarder du côté de la configuration des services 1
par 1 : ex : /etc/init.d/ssh start, et voir les log on encore en mode
"non démon" pour voir en temps réel ce qui se passe au niveau du
lancement. Exemple : sshd -d -D

Les ports sont ils ouverts? Que donne netstat -l?

Peut être avez-vous subit une attaque ? Et qu'on a déconfiguré tous les
services ? Ou aurait installé des versions modifiées ?
Réinstaller les paquet depuis une source sûre avec support de clés GPG?

Ce sont quelques idées en vrac.

Cordialement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
west
Le #9695641
Raphaël RIGNIER a écrit :
West a écrit :
Bonjour la liste,

J'ai un gros soucis depuis quelques jours, j'ai à ma disposition un
serveur de mail sous Debian externalisé (serveur dédié).

Des que je lance une connexion au serveur, j'ai en retour un
"connexion refused", ssh,web, smtp, en telnet sur plusieurs ports.

J'ai bien sur désacttivé le firewall, Fail2ban, mais rien à faire.

Connexion avec le mode rescue, les logs n'indiquent rien de
particulier mise à part tous les reboots, qui ont l'air d'etre logué
jusqu'a la fin du processus de boot, rien concernant les drops dans
les logs kernel,syslog, firewall ou encore messages.

Je suis retourné à mon ancien kernel, bien que le dernier fonctionne
depuis dejà plusieurs mois sans soucis (j'ai un 2eme serveur avec
quasiement la meme config, mais il n'a rien).

j'ai lancé wireshark, et lors des tentatives de connexion j'ai un beau
RST,ACK juste apres mon SYN.

Je n'ai aucune autre possiblité de me connecter mise à part le mode
rescue pour remonter les disques. D'ailleurs je vois pas pourquoi ca
fonctionne avec ce mode en ssh(port 22) et une fois booter normalement
plus rien !!

J'ai testé plusieurs ports, ceux qui sont supposés etres ouverts sur
mon serveur, et j'ai pu remarqué que la connexion se faisait sans
probleme sur le port LDAP/LDAPS.
Je n'ai réalisé le test qu'en telnet sur ldap/ldaps mais je n'avais
pas de "connexion refused".


Si quelqu'un peut me donner des idées de recherche, car là je vois
plus trop ou chercher, j'ai passé la nuit la dessus sans resultat,
c'est peut etre un truc tout bete, mais je suis parti dans pas mal de
direction sans resultat, je prefrere donc demander de l'aide à des
cerveaux plus reposés et mieux remplis .

Merci de votre aide

++




Bonjour,

Le réseau et la carte ont l'air de fonctionner. Le "connexion refused"
correspond à un service qui ne tourne pas.
Je pense qu'il faut regarder du côté de la configuration des services 1
par 1 : ex : /etc/init.d/ssh start, et voir les log on encore en mode
"non démon" pour voir en temps réel ce qui se passe au niveau du
lancement. Exemple : sshd -d -D

Les ports sont ils ouverts? Que donne netstat -l?

Peut être avez-vous subit une attaque ? Et qu'on a déconfiguré tous les
services ? Ou aurait installé des versions modifiées ?
Réinstaller les paquet depuis une source sûre avec support de clés GPG?

Ce sont quelques idées en vrac.

Cordialement.





C'est vrai que je peut tenter de lancer un 2eme serveur ssh mais à
partir du binaire(et fichiers de conf) de mon disque monté depuis le
mode rescue.

Ben normalement les tests je l'ai fait sur des ports qui sont supposés
être ouvert j'en ai au moins 7 (pop3s,smtp,smtps,ldap,ldaps,web,ssh).

Je ne peut pas faire de netstat n'ayant pas la main sur le serveur. J'ai
pourtant essayer de bidouiller un truc du genre rajouter une ligne de le
crontab pour planifier une tache justement pour me remonter ce type
d'infos, mais la tache ne se lance pas.

J'ai tenté autre chose, mettre un script au démarrage pour récupérer les
infos(netstat,ps ....) il s'est bien exécuté, mais je crois qu'il n'a
pas le tps de d'initialiser correctement, ce qui fait qu'on a pas grand
chose, faudrait un script de démarrage qui s'exécute bien après son
lancement.

niveau log j'ai pas grand chose, mais je vais tenter avec le ssh lancer
manuellement deja pour voir si il démarre normalement.

je doute quand meme qu'il s'agisse d'un piratage, même s'il est vrai que
c'est une option a ne pas exclure, mais ce serveur n'avait d'accès
public que les service de mail, le reste (web,ssh,ldap) était invisible
du public (pas de réponses) et avec que 2 ips autorisées à s'y connecté
avec bien sur un mot de passe d'@u M0!N$ 15 @t3r3$ $! tu Vois ce que
je veux dire sans parler de fail2ban sur ces services (10mn de bans pour
3 mdp incorrect)


Merci pour les idées en vrac, je vais essayer deja d'avancé avec ca.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9695591
Bonjour,


Le lundi 31 mars 2008, West a écrit...


Si quelqu'un peut me donner des id


Jean-Michel OLTRA
Le #9695561
Bonjour,


Le lundi 31 mars 2008, West a écrit...


Si quelqu'un peut me donner des id


Publicité
Poster une réponse
Anonyme