vServer Ubuntu 12.04 /var/log/lpr.log

D

delta544

Member
Hallo,

weiss jemand zufällig wie solche Einträge in die lpr.log landen:

Feb 12 08:58:05 39025 Plesk/Courier authd[5587]: No such user 'webmaster@webtropia.com' in mail authorization database
Feb 12 08:58:11 39025 Plesk/Courier authd[5590]: No such user 'www@webtropia.com' in mail authorization database
Feb 12 12:32:47 39025 Plesk/Courier authd[11865]: No such user 'admin@aglmail.de' in mail authorization database
Click to expand...

Ich steh gerad irgendwie auf dem Schlauch. Es sieht so aus als würde jemand versuchen sich an meinem Mailserver anzumelden, aber wieso steht es in der lpr.log???? Irgendjemand ne Idee??

gruss,
delta544
 
Hi,

du solltest dir vielleicht mal die Syslog config, bzw die courier config anschauen. Eines der beiden Programme scheint diese Logdatei zu verwenden. Ich tippe allerdings eher auf den Courier.
 
karaktaka said:
Hi,

du solltest dir vielleicht mal die Syslog config, bzw die courier config anschauen. Eines der beiden Programme scheint diese Logdatei zu verwenden. Ich tippe allerdings eher auf den Courier.
Click to expand...

@karaktaka

Danke für den Tipp, werd ich gleich mal machen.

gruss,
delta544
 
karaktaka said:
Hi,

du solltest dir vielleicht mal die Syslog config, bzw die courier config anschauen.
Click to expand...

Hallo karaktaka,

könntest du das etwas genauer spezifizieren? In der Syslog.conf war soweit alles OK, keine Auffälligkeiten.

Hab mir alle Dateien in /usr/lib/courier-imap & /etc/courier-imap/ angesehen, aber in keiner stand irgendetwas von einem 'lpr.log'

Gibt ne Möglichkeit irgendwie per grep alle Dateien unterhalb von /etc/ nach 'lpr.log' zu durchforsten???

gruss,
delta544
 
delta544 said:
Gibt ne Möglichkeit irgendwie per grep alle Dateien unterhalb von /etc/ nach 'lpr.log' zu durchforsten???
Click to expand...

Ja, die gibt es
Code: 
grep -ir lpr.log /etc/*

Genauer als: "schau in die Courier Configs" geht leider nicht, da ich selbst Dovecot nutze. Aber irgendwo solltest du mit dem oben genannten Befehl was finden.
 
Hallo karaktaka,

vielen Dank für deine Tipps und Hilfe. Leider fördert grep nur die syslog.conf zutage und dort steht:
Code: 
lpr.*         -/var/log/lpr.log

Das wars dann aber auch schon mit der lpr.log

Ich verwende auch Fail2Ban und dort sind keinerlei unerwünschten Ereignisse aufgetreten, jedenfalls nicht im zusammenhang mit E-Mails/Mailserver.

Hab auch /usr/lib/ durchforsten lassen, aber auch dort nichts.

Sonst noch Ideen was es sein könnte??

MfG,
delta544
 
Also laut google sollte die lpr.log für Drucker verwendet werden. Da deine Fehlermeldung aber auch Plesk enthält würde ich dort mal suchen.
 
karaktaka said:
Also laut google sollte die lpr.log für Drucker verwendet werden. Da deine Fehlermeldung aber auch Plesk enthält würde ich dort mal suchen.
Click to expand...

Hallo karaktaka,

ja, das mit dem Drucker hab ich auch schon rausfinden können, aber was ich nicht verstehe wieso steht das im lpr.log? Ich mein ich hab keinen Drucker im Rechenzentrum stehen :)

Die letzten Meldungen kamen gestern früh um 02:39 rein, dieselben Meldungen stehen auch in /var/log/messages (ich denke mal da gehören die auch hin).

Und das zweite: Wieso landen @webtropia.com Mails auf meinem Server? Die Domain besitze ich doch gar nicht, da müssten ja schon MX Einträge falsch gesetzt sein,oder?

gruss,
delta544
 
Wie ich bereits sagte, kann Plesk so eingestellt sein, dass es die Meldungen da hin schreibt.

Es sieht auch nicht aus, als würdest du Mails für die betroffenen User erhalten, viel mehr sind es Login versuche mit den jeweiligen Usern.
 
karaktaka said:
Wie ich bereits sagte, kann Plesk so eingestellt sein, dass es die Meldungen da hin schreibt.

Es sieht auch nicht aus, als würdest du Mails für die betroffenen User erhalten, viel mehr sind es Login versuche mit den jeweiligen Usern.
Click to expand...

Hallo Karaktaka,

im Selbstversuch hab ich absichtlich mit falschen Userdaten versucht per Mailprogramm E-Mails abzuholen. Das Ergebniss: Die Fehlversuche sind in /var/log/messages und in /var/log/lpr.log verzeichnet worden.

OK, fehlerhaften MX Eintrag kann man ausschließen, bleibt immer noch die frage offen: Warum im lpr.log geloggt wird. Kann mir da keinen Reim drauf machen.

gruss,
delta544
 
Ich weiß, ich wiederhole mich, aber hast du mal in der Plesk Administrationsfläche oder in einer Config Datei deines Plesk nachgeschaut?
 
karaktaka said:
Ich weiß, ich wiederhole mich, aber hast du mal in der Plesk Administrationsfläche oder in einer Config Datei deines Plesk nachgeschaut?
Click to expand...

Hallo karaktaka,

also, ich hab mich durch das komplette PLESK Webinterface druchgeklickert, aber keine Einstellungsmöglichkeiten gefunden mit der man das logging beeinflussen könnte.

Dann hab ich mich noch mal durch /etc/ und /usr/ 'gegrept' aber nix (ausser in syslog.conf).

Im moment bin ich gerad versucht zu sagen 'Sch-..- drauf'. So wie es aussieht hat es keine negativen Einflüsse.

Gruss,
delta544
 
In der Courier-Config wird vermutlich als Auth-Modul "authpsa" stehen. Du wirst also danach suchen müssen.
 
TerraX said:
In der Courier-Config wird vermutlich als Auth-Modul "authpsa" stehen. Du wirst also danach suchen müssen.
Click to expand...

Hallo TerraX,

also, so wie es aussieht wird "authpsa" verwendet.
Zu finden ist eine Konfigurationsdatei unter: /usr/local/psa/admin/bin/ mit dem Namen "courier_authpsa_configure".

Aber innerhalb von dieser Datei wird nicht auf die lpr.log verwiesen, allerdings wurde diese Datei wohl von PLESK angepasst und man findet unter anderem folgendes:
Code: 
 print "# *** Duplicated AUTHMODULES commented out by Parallels Plesk ***"
                        print "### " $0;
                        print "Duplicated AUTHMODULES entry" > "/dev/stderr"
                        changed=110;
                        next;
                }
                found=1; # Got AUTHMODULES
                sub(/#.*$/, "", str);
                sub(/[[:space:]]*"?[[:space:]]*$/, "", str);
                split(str, modules, /[[:space:]]+/);
                had_authpsa=0;
                for(mod in modules) {
                        if (modules[mod] == "authpsa") {
                                had_authpsa=1;
                                break;
                        }
                }
                if (had_authpsa) {
                        print $0;
                } else {
                        if (length(str)) {
                                print
                                print change_mark;
 print "### " $0;
                        }
                        print "AUTHMODULES=\"authpsa\""
                        print "AUTHMODULES entry was changed" > "/dev/stderr"
                        changed=110;
                }
        } else {
                print $0;
        }
}
END {
        if (!found) {
                print
                print add_mark;
                print "AUTHMODULES=\"authpsa\"";
                changed=110;
        }
        exit changed;

Jetzt bin ich nich so der Programmierer und vielleicht versteh ich den Code auch falsch, aber kann es sein das Fehlermeldungen 'gedruckt' werden sollen??

gruss,
delta544
 
print bedeutet in der Programmiersprache meines Wissens nach nicht, dass etwas ausgedruckt werden soll (vielleicht gibt es das in der ein oder anderen Sprache, aber bis lang in keiner die mir untergekommen ist). Hier bedeutet es nur, dass der Befehl "ausgegeben" werden soll. Meist auf die Standardausgabe.
 
Was gibt die Ausgabe von "lsof /var/log/lpr.log"? Ich gehe zwar nun nicht von einer Überraschung aus, aber man weiß ja nie... ;)
 
karaktaka said:
print bedeutet in der Programmiersprache meines Wissens nach nicht, dass etwas ausgedruckt werden soll (vielleicht gibt es das in der ein oder anderen Sprache, aber bis lang in keiner die mir untergekommen ist). Hier bedeutet es nur, dass der Befehl "ausgegeben" werden soll. Meist auf die Standardausgabe.
Click to expand...

Tja, wär ja auch zu schön gewesen, wenn es das gewesen wär :)
 
You must log in or register to reply here.
Back
Top