Mailbomben?

[lukasschuermann]

Moin Leute

me is kunde bei S4Y (power server). schon über eine woche wird mein mail-server (sendmail) mit mailbomben vollgespammt (bemerkbar durch sau viel traffic, vorallem downstream und durch sendmail das nicht mehr läuft). Das ganze geht immer an einen user(web4). Und weil die quota schon lange eingreift, ist das log voller meldungen wie diese:

Oct 12 10:06:09 londonxx sendmail[15858]: i9C850La015858: from=web4, size=7414, class=0, nrcpts=1, relay=web4@localhost

Oct 12 10:06:09 londonxx sendmail[15858]: i9C850La015858: SYSERR(web4): Error writing control file ./qfi9C850La015858: Disk quota exceeded

Oct 12 10:11:03 londonxx sendmail[15881]: i9C8A0CO015881: SYSERR(web4): collect: Cannot write ./dfi9C8A0CO015881 (sm_io_flush||sm_io_error, uid=20078, gid=12): Disk quota exceeded

Was haltet ihr von den meldungen? Der support meint das wären mailbomben, was ich mir auch vorstellen kann. Wenn das wirklich mailbomben sind, was tu ich am besten dagegen? Spamassasin bringt dort wohl gar nix oder?

Thx schon im voraus.

P.S. sobald ich sendmail ausschalte, kommt 0 traffic (bzw. nur noch der norm traffic).

 

[Thorsten]

Hallo!
Ist es immer der selbe Host der einliefert?

mfG
Thorsten

 

[lukasschuermann]

das bin ich gerade am rausfinden, ich glaube aber nicht, sonst könnte ich den über route oder die iptables raussperren.

öhm schnell als zwischenfrage: Im iptraf find ich das und da tut sich ziemlich viel.

UDP/domain 132 8132 66 3890 66 4242

sind das anfragen vom nameserver?

P.S. ist es möglich das ein eingeloggter user auf dem ssh (ich) 5-10 kb/s an traffic erzeugt?

 

[Thorsten]

Hallo!

UDP/domain 132 8132 66 3890 66 4242

sind das anfragen vom nameserver?

Was genau meinst du? Nameserver ist Port 53. Alles andere siehe http://www.iana.org/assignments/port-numbers.

mfG
Thorsten

 

[lukasschuermann]

dns abfragen waren das.

Ich find in meinem iptraf folgende einträge

│ IP protocol 112 (46 bytes) from 62.75.252.254 to 224.0.0.18 (src HWaddr 00005e00011e) on eth0 │
│ IP protocol 112 (46 bytes) from 62.75.246.3 to 224.0.0.18 (src HWaddr 00005e00011c) on eth0 │
│ IP protocol 112 (46 bytes) from 62.75.252.254 to 224.0.0.18 (src HWaddr 00005e00011e) on eth0 │
│ IP protocol 112 (46 bytes) from 62.75.246.3 to 224.0.0.18 (src HWaddr 00005e00011c) on eth0 │


öhm loggt da iptraf externen traffic?? weil keine der ips ist von mir, aber die beiden ip's 62.75.*.* sind vom S4Y netz. ich krieg ca 3 solche zeilen pro sekunde, ansonsten läuft nicht viel (habe alle dienste ausser sshd und sendmail ausgeschaltet)

 

[Thorsten]

Hallo!
Das kann es nicht sein. 224.0.0.X sind meines Wissens Multicast Adressen. Und die von dir angegebenen IP Adressen sind die Zugangsrouter von Server4You.
Nimm dir besser das Maillog für die Analyse vor.

mfG
Thorsten

 

[lukasschuermann]

hm ein paar dinge sind ziemlich komisch, hab den server vor 10 minuten neu gestartet und gab bisher nicht gross traffic, obwohl alle dienste laufen. in welchen intervallen wird eigentlich die s4y trafficübersicht geupdated? Ich lass jetzt den server mal 15 minuten so laufen und schau dann nach dem traffic und nach den logs.

 

[Thorsten]

Hallo!
Ich denke der Traffic wird direkt am Switch-Port gemessen. Ich würde mich als Provider jedenfalls nicht auf irgendwelche Daten am Netzwerk Interface verlassen .

mfG
Thorsten

 

[lukasschuermann]

gab jetzt doch bis 22 uhr wieder ziemlich traffic, danach hab ich mich per ssh eingeloggt und cron ausgeschaltet, dann sind die störenden progs mal kurze zeit ausgeschaltet, danach hab ich mich wieder ausgeloggt. Traffic steigt noch mehr an, vor paar minuten hab ich mich eingeloggt sendmail ausgeschaltet und jetzt wart ich ca 10 minuten, danach seh ich nach dem traffic und nach den log files. Ich hoffe mal da kann ich wieder paar dinge klären

P.S. netstat -a gab bisher auch nie was unerwartetes aus, auch bei top und ps sieht alles normal aus.

 

[Thorsten]

Hallo!
Du kommst irgendwie vom ursprünglichen Thema ab. Ich denke mail war/ist das Problem? Melde dich als root an und beobachte mittels

tail -f /var/log/mail

bzw.

tail -f /var/log/maillog

ein- und ausgehendem SMTP Verkehr.

mfG
Thorsten

 

[lukasschuermann]

wollte nur nochmal sichergehn das der traffic 100 % mit dem mailserver zusammenhängt, was sich jetzt bestätigt hat, bei ausschalten von sendmail ist der traffic gegen 0.

während der zeit in der ich ihn jetzt angeschaut habe gibt sendmail ca alle 5 minuten folgende zeilen ins mail log:

Oct 14 22:00:02 london sendmail[913]: i9EK00f3000913: from=web4, size=393, class=0, nrcpts=1, relay=web4@localhost
Oct 14 22:00:02 london sendmail[913]: i9EK00f3000913: SYSERR(web4): Error writing control file ./qfi9EK00f3000913: Disk quota exceeded
Oct 14 22:02:44 london sendmail[912]: i9EK0038000912: SYSERR(web4): collect: Cannot write ./dfi9EK0038000912 (sm_io_flush||sm_io_error, uid=20078, gid=12): Disk quota exceeded
Oct 14 22:02:44 london sendmail[912]: i9EK0038000912: from=web4, size=7422, class=0, nrcpts=1, relay=web4@localhost
Oct 14 22:02:44 london sendmail[912]: i9EK0038000912: SYSERR(web4): Error writing control file ./qfi9EK0038000912: Disk quota exceeded
Oct 14 22:07:18 london sendmail[928]: i9EK50vh000928: SYSERR(web4): collect: Cannot write ./dfi9EK50vh000928 (sm_io_flush||sm_io_error, uid=20078, gid=12): Disk quota exceeded

Ansonsten ist im mail log nichts zu sehen. Trotzdem wird während dieser zeit ein traffic von durchschnittlich 1 mb pro minute, ohne das irgendwelche anderen dienste gebraucht werden.

P.S. wenn ich sendmail so ca 30 minuten ausschalte und dann einschalte, kommt länger(seit 15 min) kein traffic und auch nicht die zeilen oben, also wird das nicht von sendmail selbst, sondern von aussen kommen.