Serverausfall vom 14.4.2014

Leider hat es gestern einen unangenehmen Ausfall des Servers gegeben. Um ca. 16:15 Uhr hat mein Hoster die IPv4 Adresse meines Servers gesperrt, da dieser angeblich XMPP S2S Pakete an eine private IPv4 Adresse gesendet hat. Dies konnte ich jedoch nicht nachvollziehen.

Sämtliche Logs waren unauffällig. Matthew Wild (Prosody) hat sich meine Logfiles auch mal angesehen und konnte nichts finden. Keine ungewollten Prozesse, nichts im tcpdump zu finden. Munin zeigt auch keinen ungewöhnlichen Traffic. Der Server war komplett unauffällig.

Gegen 20:45 Uhr hat mein Hoster die IPv4 Adresse dann freundlicherweise wieder freigegeben. Seitdem habe ich permanent einen tcpdump laufen um das im Auge zu behalten.

Hier ist das Logfile welches mir mein Hoster hat zukommen lassen.

[179167.216714] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47018 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179168.214558] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47019 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179170.216751] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47020 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179174.220823] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47021 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179182.237236] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47022 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179311.667564] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19644 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179312.664326] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19645 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179314.666404] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19646 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179318.666588] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19647 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[179326.674930] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19648 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0 
[181199.725349] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=27996 DF PROTO=TCP SPT=59740 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179167.216714] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47018 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179168.214558] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47019 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179170.216751] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47020 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179174.220823] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47021 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179182.237236] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47022 DF PROTO=TCP SPT=59600 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179311.667564] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19644 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179312.664326] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19645 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179314.666404] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19646 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179318.666588] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19647 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[179326.674930] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=19648 DF PROTO=TCP SPT=59618 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

[181199.725349] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-46911.0 PHYSOUT=eth0 MAC=00:26:88:75:bf:06:00:1c:14:01:04:cb:08:00 SRC=88.198.108.242 DST=10.230.110.139 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=27996 DF PROTO=TCP SPT=59740 DPT=5269 WINDOW=14600 RES=0x00 SYN URGP=0

Sollte jemand von euch eine Idee haben, bin ich für jeden Tipp dankbar.

Für den gestrigen Ausfall bitte ich um Entschuldigung.

Nachtrag, 15.4.2014 12:20 Uhr: Gerade erhalte ich die Information von meinem Hoster, dass dieser Vorfall bereits am 27.3.2014 von 11:26:27 bis 20:22:04 Uhr stattgefunden hat.
Mein Hoster hat meinen Server am 14.4.2014 also wegen eines Ereignisses gesperrt, welches vor knapp drei Wochen geschehen ist. Da ich meine Logfiles nur zwei Tage aufbewahre kann ich hier nun auch nichts mehr prüfen…