Apache/Sendmail Problem

L

Leuchte

Registered User
Hallo

ich denke, ich hab ein ähnliches Problem. Ich erhalte im Minutentakt Mails mit diesem Inhalt
The original message was received at Mon, 13 Feb 2006 02:11:31 +0100
from localhost [127.0.0.1]

----- The following addresses had permanent fatal errors -----
<debated@arbiter.com>
(reason: 550 Unknown user)

----- Transcript of session follows -----
Click to expand...
Das ganze wird von meinem vServer versendet (vServer Basic, s4you.de).
Code: 
Return-Path: <MAILER-DAEMON@vsxxxxxx.vserver.de>
Received: from localhost (localhost)
	by vsxxxxxx.vserver.de (8.12.10/8.12.10/SuSE Linux 0.7) id k1D30F48022434;
	Mon, 13 Feb 2006 08:52:17 +0100
Date: Mon, 13 Feb 2006 08:52:17 +0100
From: Mail Delivery Subsystem <MAILER-DAEMON@vsxxxxxx.vserver.de>
Message-Id: <200602130752.k1D30F48022434@vsxxxxxx.vserver.de>
To: mail(at)leuchte.net
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="k1D30F48022434.1139817137/vsxxxxxx.vserver.de"
Content-Transfer-Encoding: 8bit
Subject: Warning: could not send message for past 4 hours
Auto-Submitted: auto-generated (warning-timeout)
Andere werden gesendet von wwwrun@localhost. Die Logs (Mail, Apache) hab ich schon durchgesehen, aber nicht wirklich etwas auffälliges gefunden.
Hat jemand einen Tipp?
 
Hallo!
@Leuchte:
Wir bräuchten mal einen Auszug des maillog. Die aktuelle E-Mail ist lediglich die Mitteilung darüber, dass eine Mail nicht zugestellt werden konnte.

mfG
Thorsten
 
Hallo Thorsten,

danke und kein Problem:
Code: 
Feb 13 10:49:16 vsXXXXXX sendmail[22434]: k1CKw1sk008741: to=<ekaluina@ibm.net>, ctladdr=<wwwrun@vsXXXXXX.vserver.de> (30/8), delay=12:50:04, xdelay=00:00:00, mailer=esmtp, pri=2950153, relay=ns.watson.ibm.com. [129.34.20.80], dsn=4.0.0, stat=Deferred: Connection refused by ns.watson.ibm.com.
Feb 13 10:49:58 vsXXXXXX sendmail[18308]: k1D7p0gv005503: to=root, delay=01:58:58, xdelay=00:09:32, mailer=local, pri=131390, dsn=2.0.0, stat=Sent
Feb 13 10:50:43 vsXXXXXX smtp[16256]: k1D9lPT4015968: to=<foren@leuchte.net>, delay=00:03:15, xdelay=00:03:12, mailer=local, pri=31911, dsn=2.0.0, stat=Sent
Feb 13 10:50:58 vsXXXXXX sendmail[26080]: k1D70J4i026080: timeout waiting for input from local during Draining Input
Feb 13 10:51:38 vsXXXXXX smtp[25601]: k1D9mEjl019906: to=<msn@leuchte.net>, delay=00:03:12, xdelay=00:03:00, mailer=local, pri=46565, dsn=2.0.0, stat=Sent
Feb 13 10:52:14 vsXXXXXX sendmail[18308]: k1D8Kuvw014405: timeout waiting for input from local during Draining Input
Feb 13 10:52:26 vsXXXXXX sendmail[12579]: k1D10KK0012579: to=root, delay=00:09:50, xdelay=00:09:44, mailer=local, pri=35878, dsn=2.0.0, stat=Sent
Feb 13 10:53:07 vsXXXXXX sendmail[22434]: k1CKWjg9024068: to=<ccmac@macro.net>, ctladdr=<wwwrun@vsXXXXXX.vserver.de> (30/8), delay=13:18:11, xdelay=00:03:09, mailer=esmtp, pri=2980150, relay=ex1.macro.net. [63.195.191.14], dsn=4.0.0, stat=Deferred: Connection timed out with ex1.macro.net.
Ich hoffe das reicht aus
 
Hallo!
Also aus dem vorhandenen Log-Material kann man nur erkennen, dass E-Mails nicht zugestellt werden können, weil keine Verbindung zum Zielserver möglich war (connection timed out, Connection refused).
Was läuft da auf deinem Server? Offensichtlich versucht dein Apache E-Mails zu versenden.

PS : Thread geteilt.
 
Auf dem Server läuft meine private Homepage und eine Community (Forum, Chat usw.)
Hatte vorhin eine falsche Mail reinkopiert.
Meinte eigentlich diese
Code: 
The original message was received at Mon, 13 Feb 2006 09:23:29 +0100
from localhost [127.0.0.1]
with id k1D8LAX6017920

   ----- The following addresses had permanent fatal errors -----
<beger@alice.dp.ua>
    (reason: 550 5.1.1 <beger@alice.dp.ua>... User unknown)
<begift@alumni.usc.edu>
    (reason: 553 5.3.0 <begift@alumni.usc.edu>... User unknown)
<befancy@apsc.ubc.ca>
    (reason: 550 <befancy@apsc.ubc.ca>: Recipient address rejected: User unknown in relay recipient table)
<bedrape@ase.net>
    (reason: 550 5.7.1 Message rejected.)
<beglue@bcwood.com>
    (reason: 550 <beglue@bcwood.com>: Recipient address rejected: User unknown in relay recipient table)
<begnoche@brownlumber.net>
Das geht so weiter mit hunderten Adressen (und das mit mehreren Mails (ca. 15/Stunde))
 
Sieht nicht so aus:
Relay test result
All tests performed, no relays accepted.
Click to expand...

Jetzt schau ich nach /var/mail und sehe neben meinen normalen mailaccounts das:

vsXXXXXX:/var/mail # ls
. _Fy,ZGc7DB.vsXXXXXX _k3H+JtS7DB.vsXXXXXX web1p1
.. _Fy.YGc7DB.vsXXXXXX _k3H,GtS7DB.vsXXXXXX web1p2
_B1D.Wa97DB.vsXXXXXX _Fy.ZGc7DB.vsXXXXXX _k3H,JtS7DB.vsXXXXXX web2p1
_DFB.UV-7DB.vsXXXXXX _J5F.DKU7DB.vsXXXXXX _k3H.GtS7DB.vsXXXXXX web2p2
_Fy%YGc7DB.vsXXXXXX _k3H%GtS7DB.vsXXXXXX _k3H.JtS7DB.vsXXXXXX web2p3
_Fy+YGc7DB.vsXXXXXX _k3H%JtS7DB.vsXXXXXX _k3H.KtS7DB.vsXXXXXX web3p1
_Fy,YGc7DB.vsXXXXXX _k3H+GtS7DB.vsXXXXXX root

wtf!?
 
Last edited by a moderator:
Hallo!
Gut! Dann könnte ich mir nur noch vorstellen, dass jemand über einen anderen Server SPAM mit deiner Absenderadresse verschickt. Die (SPAM) E-Mails die nicht zugestellt werden konnten, landen dann logischerweise bei dir.

Und als letzte Möglichkeit. Ist es gewollt, dass dein Webserver eine E-Mail an diesen Benutzer schicken will:
Code: 
Feb 13 10:53:07 vsXXXXXX sendmail[22434]: k1CKWjg9024068: to=<ccmac@macro.net>, ctladdr=<wwwrun@vsXXXXXX.vserver.de> (30/8), delay=13:18:11, xdelay=00:03:09, mailer=esmtp, pri=2980150, relay=ex1.macro.net. [63.195.191.14], dsn=4.0.0, stat=Deferred: Connection timed out with ex1.macro.net.
Forenaccount, Newsletter oder sonst irgendein Service bei dem Mails an deine User geschickt werden. Falls nicht, könntest du irgendwo ein bösartiges Script auf deinem Server laufen haben.

Alles weitere kann nur mit Zugriff auf deine Maschine geprüft werden.

mfG
Thorsten
 
Gewollt ist diese Mail auf keinen Fall. Newsletter o.ä. wurden nicht verschickt und auch sonst ist diese Mailadresse unbekannt.
Falls nicht, könntest du irgendwo ein bösartiges Script auf deinem Server laufen haben.
Click to expand...
Gibts denn einen "Patenttipp" wie man so ein Script findet?
Ich kann meine Webverzeichnisse nach unbekannten Dateien durchsuchen, aber das Script muss sich ja nicht zwangsläufig darin befinden.
Jetzt schau ich nach /var/mail und sehe neben meinen normalen mailaccounts das:

vsXXXXXX:/var/mail # ls
. _Fy,ZGc7DB.vsXXXXXX _k3H+JtS7DB.vsXXXXXX web1p1
.. _Fy.YGc7DB.vsXXXXXX _k3H,GtS7DB.vsXXXXXX web1p2
_B1D.Wa97DB.vsXXXXXX _Fy.ZGc7DB.vsXXXXXX _k3H,JtS7DB.vsXXXXXX web2p1
_DFB.UV-7DB.vsXXXXXX _J5F.DKU7DB.vsXXXXXX _k3H.GtS7DB.vsXXXXXX web2p2
_Fy%YGc7DB.vsXXXXXX _k3H%GtS7DB.vsXXXXXX _k3H.JtS7DB.vsXXXXXX web2p3
_Fy+YGc7DB.vsXXXXXX _k3H%JtS7DB.vsXXXXXX _k3H.KtS7DB.vsXXXXXX web3p1
_Fy,YGc7DB.vsXXXXXX _k3H+GtS7DB.vsXXXXXX root

wtf!?
Click to expand...
Kannst du evtl. dazu was sagen?
Es ist auch nicht normal, dass /var/mail/root innerhalb von einem Tag auf ~30MB anwächst, oder?
 
Hallo!
Keine Panik bekommen! Keine Logs löschen!
Normal sieht es nicht aus. Sieh mal nach, ob du in deinen /tmp Verzeichnissen ausführbare Dateien liegen hast. Sieh dir deine Prozessliste an. Laufen dort Programme die sonst nicht laufen?

Ein Allheilmittel gibt es nicht. Viele Dinge muss man einfach mal selbst ansehen.

mfG
Thorsten
 
Hallo,

sorry wenn ich mich hier mal einklinke aber kann es möglich sein das auf deinem Server ein Kunde ein php Script ( mail() ) laufen lässt welches möglicherweise mit deiner Adresse bzw der lokalen Adresse Spam versendet?

Returned Mails landen demzufolge wieder auf deiner Maschine was das hohe Mailaufkommen erklären könnte. Noch eine Idee wäre auch erstmal alle dir unbekannten Empfängerkonten zu löschen den Spool zu leeren und beobachten ob sich in/var/mail wieder mailaccounts einrichten.

bye
Sundriver
 
Hallo,

die Möglichkeit der E-Mail Injection habe ich (eigentlich) ausgeschlossen. Ein Script wurde von mir gelöscht, weil es ein Fremdskript war. Aber den E-Mail Injection-Test hat es bestanden, sodass das nicht der Auslöser sein konnte (es werden auch immer noch fleissig Mails verschickt).
Ich habe schon etliche Logs durchgeblättert, aber keinen Hinweis gefunden.
"top" zeigt komischerweise ziemlich oft confixx_updates und confixx_counter an
Code: 
 9252 root      20   0  2040 1964 1284 R  5.6  0.0   9:59.79 confixx_counter
23264 root      20   0  4628 1452 1420 R  5.6  0.0   9:04.98 confixx_updates
26851 root      18   0  3232 1408 1376 R  5.1  0.0  36:12.25 confixx_counter
 3040 root      18   0  5088 1468 1432 R  5.1  0.0  26:07.62 confixx_updates
 1060 root      20   0  1460 1032 1000 R  5.1  0.0  10:35.45 confixx_updates
 2338 root      20   0  2240 1316 1284 R  5.1  0.0   8:29.30 confixx_updates
 4874 root      18   0  2040 1316 1284 R  4.6  0.0  16:49.51 confixx_counter
20322 root      19   0  3356 1888 1376 R  4.6  0.0  11:13.35 confixx_counter
12833 root      20   0  5828 1500 1468 R  4.6  0.0   4:14.24 confixx_updates
29058 root      20   0  2864 2864 1288 R  4.6  0.0   0:24.79 confixx_updates
31072 root      17   0   892  780  748 R  4.1  0.0   9:13.08 confixx_counter
22982 root      19   0  2764 1532 1296 R  4.1  0.0   8:04.84 confixx_counter
25601 root      18   0  1064 1064  832 R  2.5  0.0   0:00.30 top
31297 root      18   0  1552 1552 1100 R  2.0  0.0   1:06.37 confixx_counter
Hat das was damit zu tun?
Die Load steigt und steigt und der Server wird immer lahmer. So langsam bin ich am verzweifeln.:mad:
 
The original message was received at Mon, 13 Feb 2006 09:23:29 +0100
Click to expand...
Einfache Regel: in allen access_logs nachsehen, welches zu dem Zeitpunkt einen Eintrag hat, welches evtl. mit Emails in Verbindung stehen könnte.

Deine mbox's in /var/mail/ sind wahrscheinlich ein Produkt der Spammerei, die gerade über Deinen Server geht.
Und das /var/mail/root sollte niemals so voll werden, da Du die dort auflaufenden Emails nämlich lesen solltest.
Wahrscheinlich steht dort sogar was hilfreiches über Deine Probleme drin.

Deine confixx_counterscripts sehen tatsächlich nicht gut aus.
Auch die sollten nicht in solchen Scharen daher laufen und schon gar nicht soviel CPU-Last erzeugen.
Evtl. blockieren die sich sogar gegenseitig.
Hier sollte ein killall abhilfe schaffen.

PS: Falls Du mal einen Rebound mit original Headern der ursprünglichen Mail erhälst, poste das Ding mal.

huschi.
 
So, einen Tag nicht online und es scheint erledigt zu sein. So wie es aussieht, war es wohl doch das Fremdskript, was per Mail-Injection missbraucht wurde. Das kommt davon, wenn man auf Fremdskripts vertraut.
Ab sofort kommt nur noch selbstgeschriebenes auf den Server. ;)
Ich beobachte dennoch weiter. Vielen Dank allen, die sich meinem Problem angenommen haben. Tolles Forum hier!
 
You must log in or register to reply here.
Back
Top