PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sendmail erscheint 100 mal in top wer ist der auslöser



warze
10.02.06, 22:30
Hallo,

hier habe ich mal meine top eingestellt. Folgendes Problem wenn ich den Sendmail dienst stopppe und wieder starte läuft er sofort auf volle turen wie kann ich herrausbekommen woher der Traffic kommt? Ich teile den Server mit einigen freunden und weiß echt nicht mehr was da los ist. Iczh bin nicht der Linux Profi also bitte nicht direkt auf mich ein schimpfen.

top - 22:27:48 up 4 days, 4:51, 1 user, load average: 11.73, 10.73, 7.66
Tasks: 92 total, 3 running, 88 sleeping, 0 stopped, 1 zombie
Cpu(s): 1.0% user, 5.5% system, 0.0% nice, 93.5% idle
Mem: 239464k total, 235364k used, 4100k free, 21712k buffers
Swap: 1052248k total, 49064k used, 1003184k free, 103428k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
16816 root 15 0 520 520 420 R 2.0 0.2 0:00.50 grep
4 root 15 0 0 0 0 S 0.7 0.0 0:24.42 kswapd
11193 root 15 0 3048 3048 2716 S 0.3 1.3 0:03.23 sendmail
11194 root 15 0 3048 3048 2724 S 0.3 1.3 0:03.13 sendmail
11195 root 15 0 3048 3048 2728 S 0.3 1.3 0:03.13 sendmail
15067 wwwrun 15 0 14680 13m 11m S 0.3 5.8 0:00.18 httpd2-prefork
16520 root 15 0 1084 1084 852 R 0.3 0.5 0:00.27 top
16858 root 15 0 3124 3124 2732 D 0.3 1.3 0:00.01 sendmail
16861 root 16 0 3176 3172 2776 D 0.3 1.3 0:00.01 sendmail
1 root 15 0 88 72 52 S 0.0 0.0 0:06.11 init
2 root 15 0 0 0 0 S 0.0 0.0 0:00.00 keventd
3 root 34 19 0 0 0 S 0.0 0.0 0:00.02 ksoftirqd_CPU0
5 root 25 0 0 0 0 S 0.0 0.0 0:00.00 bdflush
6 root 15 0 0 0 0 S 0.0 0.0 0:00.13 kupdated
7 root 15 0 0 0 0 S 0.0 0.0 0:02.34 kinoded
8 root 19 0 0 0 0 S 0.0 0.0 0:00.00 mdrecoveryd
12 root 15 0 0 0 0 D 0.0 0.0 3:40.29 kjournald
55 root 18 0 0 0 0 S 0.0 0.0 0:00.00 kcopyd
454 root 15 0 260 232 168 S 0.0 0.1 1:30.15 syslogd
457 root 15 0 1040 0 0 S 0.0 0.0 0:00.11 klogd
480 root 18 0 60 0 0 S 0.0 0.0 0:00.00 resmgrd
481 bin 19 0 60 0 0 S 0.0 0.0 0:00.00 portmap
488 root 15 0 368 36 32 S 0.0 0.0 0:00.06 saslauthd
489 root 15 0 348 88 4 S 0.0 0.0 0:00.09 saslauthd
490 root 15 0 348 44 4 S 0.0 0.0 0:00.09 saslauthd
491 root 15 0 1104 1016 876 S 0.0 0.4 0:00.07 saslauthd
492 root 15 0 1104 1016 876 S 0.0 0.4 0:00.08 saslauthd
493 root 15 0 3960 784 380 S 0.0 0.3 0:00.06 miniserv.pl
536 at 15 0 152 112 108 S 0.0 0.0 0:00.02 atd
549 root 15 0 396 320 252 S 0.0 0.1 0:01.70 xinetd
567 root 15 0 64 0 0 S 0.0 0.0 0:00.00 acpid
568 root 15 0 536 376 300 S 0.0 0.2 0:02.71 sshd
693 root 15 0 228 180 140 S 0.0 0.1 0:00.00 cron
832 root 15 0 12852 76 68 S 0.0 0.0 0:00.00 antivir
851 root 15 0 12128 11m 10m S 0.0 4.7 0:05.57 httpd2-prefork
914 root 16 0 84 0 0 S 0.0 0.0 0:00.04 mingetty
915 root 17 0 84 0 0 S 0.0 0.0 0:00.04 mingetty

Tomek
10.02.06, 23:07
Hast du zufällig ein offenes Relay mit einer gut gefüllten Mailqueue?

warze
11.02.06, 09:36
Hallo,

bitte was habe ich? Komme nicht mit? Kannst du mir schreiben wie ich das feststellen kann?

Gruß

Warze

fragenhaber
11.02.06, 09:51
Ob du ein offenes Relay hast, kannst du mit diesem Test herausfinden.
http://www.abuse.net/relay.html
Einfach die Ip des Servers eingeben (oder Hostname).

warze
11.02.06, 11:17
hallo,

wie kann ich meinen Pop3 neustarten?

wenn ich sendmail -q eingebe was macht dieser Befehl?

warze
13.02.06, 16:29
Hallo,

jetzt läuft mein sendmail erstmal seit 12 Stunden stabil. Jetzt ist mein bekommt mein pop keine Verbindung mehr. Die dienste laufen alle habe ich in yast nachgeschaut die laufen aber wenn ich jetzt mit meinem Email Programm email holen möchte was vorher ging geht es jetzt nicht mehr. Es geht bei keiner Email die auf dem Server liegt. Kann mir einer Helfen?

Gruß

Warze

PS: Wenn Ihr irgentetwas braucht sagt es mir ich poste es dann wenn ich es hingekomme bin in linux nicht der Hero

bla!zilla
13.02.06, 19:17
Betreibst du einen Root-Server? Wenn ja, welches OS. Bitte beende Sendmail bis du weißt was da los ist. Poste mal einen Auszug aus /var/log/mail.

warze
14.02.06, 14:29
Hallo,

ja ich betreibe einen root Server Suse ist installiert.

Feb 14 04:16:13 test sendmail[25310]: k1BBIgdN007562: to=<administrative@nu-lineclaims.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:15 test sendmail[25310]: k199IKZR021498: to=<christian@bennworks.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:29 test sendmail[22727]: k1BCPdRd007562: to=<accounts@springstreetnetworks.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:33 test sendmail[22727]: k199IKZR021498: to=<christian@bennworks.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:39 test sendmail[22727]: k19FOZ5o004091: to=<pgoff@corvusdigital.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:39 test sendmail[22727]: k1BBIgjh007562: to=<adjustableheightplatforms@msnusers.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:58 test sendmail[25310]: k19FOZ5o004091: to=<pgoff@corvusdigital.com>, ctladdr=<wwwrun@test$
Feb 14 04:16:58 test sendmail[25310]: k1BBIgjh007562:

Feb 14 04:42:03 test ipop3d[26827]: pop3 service init from 85.214.26.228

mir sieht das so aus als würde jemand massenmails über meinen Server verschicken. Ich glaube ich liege nicht falsch. Ich habe mein root pw schon geändert trotzdem geht das immer weiter so. Wo liegt die lücke? Kann man irgentwo erkennen wer diese mails verschickt?

Gruß

Warze

marce
14.02.06, 14:32
stelle erst mal sendmail komplett ab und beschäftige Dich mit der der Config davon...

... was hat denn der OR-Test ergeben?

MiGo
14.02.06, 14:39
Warze, den Rechner SOFORT vom Netz nehmen. Wenns sein muss, lösch das Programm sendmail.
Logs kannst/solltest du sichern, für eine Anzeige gegen unbekannt. Wenn sie schon im Sande verlaufen muss, dann hast du wenigstens die Logs zur Erinnerung und kannst vielleicht sogar beweisen, dass du nur Teilschuld an den Spammails/Trojanern/Phishingmails hast.
Den Rechner machst du danach bitte vollständig platt und setzt ihn neu auf. Ein einmal kompromitiertes System ist in keinster Weise mehr vertrauenswürdig.
Es gibt buchstäblich tausende von Orten, an denen sich ein Hintertürchen verbergen kann. Und kaum eines davon ist von einem Laien (oder auch Profi) zu entdecken.
MiGo.
P.S. Ein wertvoller Beitrag zur Diskussion um das "Überlegungen und Hinweise bevor Du einen Rootserver mietest"-Topic...

bla!zilla
14.02.06, 14:42
Tja, das war´s dann für deinen Root-Server. Vom Netz trennen, Mails sichern und platte machen. Und beim nächsten Mal bitte vorher mit der Sendmail-Konfiguration auseinander setzen.

warze
14.02.06, 14:43
Hallo,


es lief ja alles perfekt. Vor 2 Wochen ging es los. erst läuft phpmyAdmin nicht mehr weil jemand versucht hat eine neue Version einzuspielen aber wer? Kann man das von Confixx aus? Oder per FTP?

Jetzt versendet jemand Massenmails über meinen Server! Wie finde ich die config von sendmail?

Ich bin anfänger der Sever läuft schon seit 2Jahren ohne Probleme und jetzt gehen die probs los.

Der OR-Test hat das ergeben.

All tests performed, no relays accepted.

Jetzt wollte ich den sendmail stoppen das geht auch nicht mehr.

Ich weiß nicht mehr weiter.

Kann mir einer helfen dem ich vertrauen kann? Gerne auch gegen bezahlung. Es ist mir echt wichtig. Per ICQ oder der jenige schaut sich das direkt per ssh an.

marce
14.02.06, 14:46
och, da ist noch mehr hintendran? Ok, ein open-Relay wäre einfach nur nervig gewesen - aber die Kiste ist wohl komplett übernommen worde.

Also dann - siehe MiGo...

marce
14.02.06, 14:47
P.S. Ein wertvoller Beitrag zur Diskussion um das "Überlegungen und Hinweise bevor Du einen Rootserver mietest"-Topic...
... und auch für den gerade aktuellen "Contra-..." Gegenthread :-)

warze
14.02.06, 14:50
Ach du *******e und jetzt was kann man machen? ICh suche hilfe wie kann man bitte einen Server übernehmen wenn die pws sich immer ändern?

Wie schliesse ich diesen ganzen relays?

marce
14.02.06, 14:52
Hast Du immer alle Sicherheitspatches eingespielt?

Hast Du immer aktuelle Versionen verwendet?

Hast Du anderen Leuten Zugriff gewährt?


... die gute alte Weisheit: Ein root-Server ist kein Spielzeug.

warze
14.02.06, 14:54
Hallo,

nein keiner hatte zugriff! Ich änder auch immer meine PWs alle. Sendmail ist per yast gelöscht.

Kann mir keiner helfen, ohne das ich alles neuinstallieren muss?

marce
14.02.06, 14:56
NEIN!!!!!

Die Kiste komplett platt machen. Keiner kann sagen, was da genau passiert ist und wo überall Backdoors sind.

... und am besten überlegen, ob es nicht ein Managed-Server oder ein gutes Webpaket beim Hoster des Vertrauens tut...

warze
14.02.06, 15:00
das scheint nur der sendmail zu sein. seit dem ich das gelöscht habe gehen meine las wieder normal bei 0.09 wo sendmail noch drauf war war es 1.5 usw.

Wie ist denn das jetzt wenn ich sendmail wieder installiere wie muss die Conifg aussehen? und wo finde ich diese?

warze
14.02.06, 15:01
Die loads bleiben stabil und gehen jetzt sogar ganz runter auf 0.02 also liegt das leg nur am Sendmail.

marce
14.02.06, 15:07
Die Kiste komplett platt machen. Keiner kann sagen, was da genau passiert ist und wo überall Backdoors sind.
... Du kannst lesen?

... und ausserdem hast Du doch oben selbst gesagt, dass


es lief ja alles perfekt. Vor 2 Wochen ging es los. erst läuft phpmyAdmin nicht mehr weil jemand versucht hat eine neue Version einzuspielen aber wer? Kann man das von Confixx aus? Oder per FTP?
... und da glaubst Du ernsthaft, dass "nur sendmail" betroffen ist?

Dein root-Server ist nicht mehr vertrauenwürdig. Ihn weiter am Netz zu lassen ist grob fahrlässig.

Bitte tu' Dir und uns allen einen Gefallen...

Tomek
14.02.06, 15:16
Da kann man nur noch den Kopf schütteln...

RichieX
15.02.06, 15:31
Wie wahr ...