Komische logfiles

Raven6299 · Mar 18, 2008

Hallo,

seit ca. 3 Tagen, bekomme ich im 5 Minuten - Takt folgende Logeinträge:

Code:

Mar 18 08:39:47 rl131 pop3d-ssl: Connection, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 pop3d-ssl: LOGOUT, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 pop3d: Connection, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 pop3d: LOGOUT, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 imapd-ssl: Connection, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 imapd: Connection, ip=[127.0.0.1]
Mar 18 08:39:47 rl131 imapd: 1205825987.624283 LOGOUT, ip=[127.0.0.1], rcvd=12,
sent=308, maildir=/
Mar 18 08:39:47 rl131 imapd-ssl: 1205825987.625240 LOGOUT, ip=[127.0.0.1], rcvd=
12, sent=310, maildir=/

Es scheint als würde von localhost irgendwas eine Verbindung zu dem Mailserver herstellen wollen..... Seit ungefähr 3 Tagen, habe ich auch Horde deaktiviert. (Den Virtual Host von der Apache config rauskomentiert). Kann das damit zusammenhängen? Ich hoffe da verschickt niemand was. Ein Open relay sollte meine Kiste eigentlich nicht sein........

Mordor · Mar 18, 2008

Du solltest er mal feststellen, welches Programm hier die Verbindungen schafft, und auf den Mailserver zugreiffen will. Schau dir mal sämtliche Logfiles die dafür in Frage kommenkönnenan, und die Prozesse die laufen. Ausserdem wäre interessant, ob zu den Zeiten, wo sich der Rechner selbst einloggt, ein cronjob läuft.

Ausserdem solltest du, wenn du es noch nicht gemacht hast, mal testen ob du wirklich kein open-relay hast. Google hilft da mit einigen guten Tests weiter.

Gruß Mordor

Raven6299 · Mar 18, 2008

Hallo,
laut Relay test ist der Server wasserdicht:

Code:

Mail relay testing
Connecting to 82.98.78.82 for relay test...
<<< 220 rl131.1blu.de ESMTP
>>> HELO antispam-ufrj.pads.ufrj.br
<<< 250 rl131.1blu.de
Relay test 1
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@antispam-ufrj.pads.ufrj.br>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 2
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@antispam-ufrj.pads.ufrj.br>
<<< 250 ok
>>> RCPT TO: relaytest@antispam-ufrj.pads.ufrj.br
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 3
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 4
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 5
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 6
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@rl131.1blu.de>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 7
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@[82.98.78.82]>
<<< 553 we don't relay (#5.7.1)
Relay test 8
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@rl131.1blu.de>
<<< 553 we don't relay (#5.7.1)
Relay test 9
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <"relaytest@antispam-ufrj.pads.ufrj.br">
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 10
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <"relaytest%antispam-ufrj.pads.ufrj.br">
<<< 553 we don't relay (#5.7.1)
Relay test 11
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br@[82.98.78.82]>
<<< 553 we don't relay (#5.7.1)
Relay test 12
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <"relaytest@antispam-ufrj.pads.ufrj.br"@[82.98.78.82]>
<<< 553 we don't relay (#5.7.1)
Relay test 13
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br@rl131.1blu.de>
<<< 553 we don't relay (#5.7.1)
Relay test 14
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <@[82.98.78.82]:relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 15
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <@rl131.1blu.de:relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 16
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <antispam-ufrj.pads.ufrj.br!relaytest>
<<< 553 we don't relay (#5.7.1)
Relay test 17
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <antispam-ufrj.pads.ufrj.br!relaytest@[82.98.78.82]>
<<< 553 we don't relay (#5.7.1)
Relay test 18
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <antispam-ufrj.pads.ufrj.br!relaytest@rl131.1blu.de>
<<< 553 we don't relay (#5.7.1)
Relay test 19
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@>
<<< 553 we don't relay (#5.7.1)
Relay test 20
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[82.98.78.82]>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br@>
<<< 553 we don't relay (#5.7.1)

>>> QUIT
<<< 221 rl131.1blu.de
Relay test result
All tests performed, no relays accepted by remote host.

ps aux meldet:

Code:

oot         1  0.0  0.0    780   320 ?        S    Mar17   0:01 init [3]
root         2  0.0  0.0      0     0 ?        SN   Mar17   0:00 [ksoftirqd/0]
root         3  0.0  0.0      0     0 ?        S<   Mar17   0:00 [events/0]
root         4  0.0  0.0      0     0 ?        S<   Mar17   0:00 [khelper]
root         5  0.0  0.0      0     0 ?        S<   Mar17   0:00 [kthread]
root         7  0.0  0.0      0     0 ?        S<   Mar17   0:00 [kblockd/0]
root         8  0.0  0.0      0     0 ?        S<   Mar17   0:00 [kacpid]
root       155  0.0  0.0      0     0 ?        S    Mar17   0:00 [pdflush]
root       156  0.0  0.0      0     0 ?        S    Mar17   0:00 [pdflush]
root       158  0.0  0.0      0     0 ?        S<   Mar17   0:00 [aio/0]
root       157  0.0  0.0      0     0 ?        S    Mar17   0:00 [kswapd0]
root       372  0.0  0.0      0     0 ?        S<   Mar17   0:00 [cqueue/0]
root       373  0.0  0.0      0     0 ?        S<   Mar17   0:00 [kseriod]
root       404  0.0  0.0      0     0 ?        S<   Mar17   0:00 [kpsmoused]
root       789  0.0  0.0      0     0 ?        S<   Mar17   0:00 [md0_raid1]
root       795  0.0  0.0      0     0 ?        S<   Mar17   0:00 [md1_raid1]
root       811  0.0  0.0      0     0 ?        S    Mar17   0:00 [kjournald]
root       870  0.0  0.0   7136   740 ?        S<s  Mar17   0:00 /sbin/udevd --d
root      1376  0.0  0.0      0     0 ?        S<   Mar17   0:00 [khubd]
root      1790  0.0  0.0  10508   736 ?        Ss   Mar17   0:00 /sbin/resmgrd
root      1791  0.0  0.0   2616   524 ?        Ss   Mar17   0:00 /sbin/acpid
100       1794  0.0  0.0  13032  1004 ?        Ss   Mar17   0:00 /usr/bin/dbus-d
root      1840  0.0  0.3  13020  3100 ?        Ss   Mar17   0:00 /usr/sbin/hald
root      2054  0.0  0.0   6008   748 ?        S    Mar17   0:00 hald-addon-acpi
root      2189  0.0  0.0   5860   276 ?        Ss   Mar17   0:00 /sbin/dhcpcd -C
root      2398  0.0  0.0   8164   704 ?        Ss   Mar17   0:00 /sbin/syslog-ng
root      2401  0.0  0.0   2884   668 ?        Ss   Mar17   0:00 /sbin/klogd -c
nobody    2420  0.0  0.0   4704   432 ?        Ss   Mar17   0:00 /sbin/portmap
daemon    2428  0.0  0.1  14024  1048 ?        Ss   Mar17   0:00 /usr/sbin/slpd
root      2461  0.0  0.0   9548   900 ?        S    Mar17   0:00 /usr/lib/courie
root      2491  0.0  0.1   7396  1164 ?        S    Mar17   0:00 /usr/sbin/couri
root      2509  0.0  0.0   9548   900 ?        S    Mar17   0:00 /usr/lib/courie
root      2511  0.0  0.1   7400  1164 ?        S    Mar17   0:00 /usr/sbin/couri
root      2551  0.0  0.0   9548   900 ?        S    Mar17   0:00 /usr/lib/courie
root      2553  0.0  0.1   7400  1164 ?        S    Mar17   0:00 /usr/sbin/couri
root      2565  0.0  0.0   9544   896 ?        S    Mar17   0:00 /usr/lib/courie
root      2571  0.0  0.1   7396  1160 ?        S    Mar17   0:00 /usr/sbin/couri
root      2830  0.0  0.0  10740   944 ?        Ss   Mar17   0:00 /usr/sbin/xinet
root      2946  0.0  0.1  27868  1308 ?        Ss   Mar17   0:00 /usr/sbin/sshd
root      2949  0.0  0.2  20296  2064 ?        S    Mar17   0:00 /usr/sbin/power
root      2950  0.0  0.0      0     0 ?        S<   Mar17   0:00 [ondemand]
ntp       2974  0.0  0.4  16004  4868 ?        SLs  Mar17   0:00 /usr/sbin/ntpd
root      2995  0.0  0.1 121932  1116 ?        Ssl  Mar17   0:00 /usr/sbin/nscd
qmails    3018  0.0  0.0   2668   532 ?        S    Mar17   0:00 qmail-send
qmaill    3022  0.0  0.0   2616   520 ?        S    Mar17   0:00 splogger qmail
root      3023  0.0  0.0   2656   444 ?        S    Mar17   0:00 qmail-lspawn |
qmailr    3024  0.0  0.0   2656   460 ?        S    Mar17   0:00 qmail-rspawn
qmailq    3025  0.0  0.0   2608   404 ?        S    Mar17   0:00 qmail-clean
root      3057  0.0  0.0   2672   456 ?        Ss   Mar17   0:00 startpar -f --
named     3081  0.0  0.3  48096  3248 ?        Ssl  Mar17   0:00 /usr/sbin/named
root      3086  0.0  0.0   5992   572 ?        Ss   Mar17   0:00 /usr/sbin/cron
root      3096  0.0  0.1   7976  1472 ?        S    Mar17   0:00 /bin/sh /usr/bi
mysql     3132  0.0  3.0 129992 31124 ?        Sl   Mar17   0:03 /usr/sbin/mysql
postgres  3182  0.0  0.3  39216  3676 ?        Ss   Mar17   0:00 /usr/bin/postma
postgres  3183  0.0  0.1  28396  1340 ?        S    Mar17   0:00 postgres: logge
postgres  3186  0.0  0.1  39216  1376 ?        S    Mar17   0:00 postgres: write
postgres  3187  0.0  0.1  29396  1216 ?        S    Mar17   0:00 postgres: stats
postgres  3188  0.0  0.1  28556  1464 ?        S    Mar17   0:00 postgres: stats
root      3197  0.0  3.7  66164 38684 ?        Ss   Mar17   0:00 /usr/sbin/spamd
popuser   3198  0.0  3.6  66164 37356 ?        S    Mar17   0:00 spamd child
popuser   3199  0.0  3.6  66164 37308 ?        S    Mar17   0:00 spamd child
root      3228  0.0  1.4 171836 14796 ?        Ss   Mar17   0:00 /usr/sbin/httpd
wwwrun    3235  0.0  0.7 171792  7660 ?        S    Mar17   0:00 /usr/sbin/httpd
wwwrun    3236  0.0  0.8 172108  8852 ?        S    Mar17   0:00 /usr/sbin/httpd
wwwrun    3237  0.0  0.8 172108  8876 ?        S    Mar17   0:00 /usr/sbin/httpd
wwwrun    3238  0.0  0.9 172108  9296 ?        S    Mar17   0:00 /usr/sbin/httpd
wwwrun    3239  0.0  0.8 172108  8852 ?        S    Mar17   0:00 /usr/sbin/httpd
wwwrun    3240  0.0  0.8 172108  8876 ?        S    Mar17   0:00 /usr/sbin/httpd
root      3310  0.0  0.0   3060   700 tty1     Ss+  Mar17   0:00 /sbin/mingetty
root      3311  0.0  0.0   3060   700 tty2     Ss+  Mar17   0:00 /sbin/mingetty
root      3312  0.0  0.0   3056   704 tty3     Ss+  Mar17   0:00 /sbin/mingetty
root      3313  0.0  0.0   3060   700 tty4     Ss+  Mar17   0:00 /sbin/mingetty
root      3314  0.0  0.0   3060   700 tty5     Ss+  Mar17   0:00 /sbin/mingetty
root      3315  0.0  0.0   3056   696 tty6     Ss+  Mar17   0:00 /sbin/mingetty
root      3318  0.0  0.2  21176  2608 ?        Ssl  Mar17   0:08 /usr/local/psa/
root      3317  0.0  0.9  51604  9280 ?        Ss   Mar17   0:01 /usr/local/psa/
drweb     3640  0.0  1.6  21920 17176 ?        Ss   Mar17   0:00 /opt/drweb/drwe
drweb     3641  0.0  1.6  21920 17028 ?        S    Mar17   0:00 /opt/drweb/drwe
drweb     3642  0.0  1.6  21920 17028 ?        S    Mar17   0:00 /opt/drweb/drwe
drweb     3643  0.0  1.6  21920 17028 ?        S    Mar17   0:00 /opt/drweb/drwe
drweb     3648  0.0  1.6  21920 17028 ?        S    Mar17   0:00 /opt/drweb/drwe
game1     3725  0.0  0.1  63832  1944 ?        SNl  Mar17   0:08 ./server_linux
wwwrun    3766  0.0  0.9 172100  9376 ?        S    Mar17   0:00 /usr/sbin/httpd
root      2569  0.0  0.0   2468   344 ?        Ss   Mar17   0:04 zmd /usr/lib/zm
wwwrun    4099  0.0  0.8 172108  8872 ?        S    Mar17   0:00 /usr/sbin/httpd
root     28878  0.0  0.2  38228  2344 ?        Ss   08:55   0:00 login -- root
root     29826  0.0  0.2   9748  2248 ttyS0    Ss   12:30   0:00 -bash
root      3258  0.0  0.7  90900  8048 ?        Ss   Mar17   0:00 /usr/local/psa/
psaadm   30007  0.3  2.2  93764 23108 ?        S    12:37   0:01 /usr/local/psa/
psaadm   30008  0.0  1.8  93880 19284 ?        S    12:37   0:00 /usr/local/psa/
root     30056  0.0  0.0   3528   904 ttyS0    R+   12:44   0:00 ps aux

Woher kann denn der Mist kommen? Die Mailports sind per Firewall sowieso dicht, da ich den 1blu Mailserver verwende.
OS ist SuSE Linux Enterprise Server 10
Da kann ja nur von innen kommen, oder?

Mordor · Mar 18, 2008

Na es sieht ja auch so aus, ob dass es von innen kommt.

Hast du mal die Logfiles durchforstet, ob da irgendwo mehr Informationen stehen? Und warum wenn du den Mailserver deines Hosters nutzt, hast du dann den auf deinem Server überhaupt am laufen? So weit ich weiss, kann man den in Plesk nämlich deaktivieren.

Gruß Mordor

Raven6299 · Mar 18, 2008

Die messages sagen leider nicht mehr. Habe die Maildienste jetzt mal abgestellt per Plesk.
Aber komische ist das schon. Kann den das deaktivieren von Horde soetwas verursachen?

Raven6299 · Mar 18, 2008

Nachtrag:

Code:

Mar 18 15:15:01 rl131 /usr/sbin/cron[30406]: (mailman) CMD (/usr/bin/python -S /
usr/lib/mailman/cron/gate_news)
Mar 18 15:15:04 rl131 pop3d-ssl: Connection, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 pop3d-ssl: LOGOUT, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 pop3d: Connection, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 pop3d: LOGOUT, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 imapd-ssl: Connection, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 imapd: Connection, ip=[127.0.0.1]
Mar 18 15:15:04 rl131 imapd: 1205849704.693450 LOGOUT, ip=[127.0.0.1], rcvd=12,
sent=308, maildir=/etc/init.d
Mar 18 15:15:04 rl131 imapd-ssl: 1205849704.694406 LOGOUT, ip=[127.0.0.1], rcvd=
12, sent=310, maildir=/etc/init.d
Mar 18 15:15:26 rl131 wdcollect[3317]: Connection to server has been established
.
Mar 18 15:15:26 rl131 wdcollect[3317]: Failed to read the server's respnse: 'Con
nection refused'
Mar 18 15:15:26 rl131 wdcConnection to server has been established.s been closed

Klar nach dem Abstellen gibts die Verbindungsfehler.
Aber:

Code:

Mar 18 15:15:01 rl131 /usr/sbin/cron[30406]: (mailman) CMD (/usr/bin/python -S /
usr/lib/mailman/cron/gate_news)

Dieser Cronjob steht jedesmal vor dem Verbindungsversuch. Ist das der Übeltäter? Was macht dieses script?

Raven6299 · Mar 19, 2008

Hallo,

weis denn jemand was dieses Scipt macht, wenn es per Cronjob aufgerufen wird? Kann es für den Logeintrag (Eintärge) verantwortlich sein? Welche Folgen hätte es, wenn ich den Cronjob deaktiviere?

Mordor · Mar 19, 2008

Schau dir doch mal das Skript an, oder such mal bei google, was es macht. Mit mailman kenn ich mich leider ned aus.

Raven6299 · Mar 20, 2008

Hallo,

habe den Übeltäter gefunden Courier - IMAP war schuld. Den Dienst habe ich beendet und jetzt ist ruhe!

Danke nochmal

Komische logfiles

Raven6299

Member

Mordor

Registered User

Raven6299

Member

Mordor

Registered User

Raven6299

Member

Raven6299

Member

Raven6299

Member

Mordor

Registered User

Raven6299

Member

We value your privacy