xinetd.log Frage

[Kenny1980]

Ich habe mal mein qmail Dienst beendet.

Aber in der xinetd.log werden weiterhin folgende Einträge gemacht.

07/10/28@14:21:18: START: smtp from=205.209.136.44
07/10/28@14:21:18: START: smtp from=205.209.136.46
07/10/28@14:21:20: EXIT: smtp status=1 duration=2(sec)
07/10/28@14:21:21: EXIT: smtp status=1 duration=32(sec)
07/10/28@14:21:22: START: smtp from=205.209.136.46
07/10/28@14:21:23: START: smtp from=205.209.136.46
07/10/28@14:21:23: EXIT: smtp status=1 duration=1(sec)
07/10/28@14:21:24: START: smtp from=66.195.50.254
07/10/28@14:21:24: START: smtp from=205.209.136.46
07/10/28@14:21:25: EXIT: smtp status=1 duration=2(sec)
07/10/28@14:21:26: EXIT: smtp status=1 duration=2(sec)
07/10/28@14:21:28: START: smtp from=205.209.136.46
07/10/28@14:21:28: START: smtp from=205.209.136.46
07/10/28@14:21:29: EXIT: smtp status=1 duration=1(sec)
07/10/28@14:21:30: EXIT: smtp status=1 duration=2(sec)
07/10/28@14:21:31: START: smtp from=205.209.136.44
07/10/28@14:21:34: EXIT: smtp status=1 duration=32(sec)

Für mich sieht es aus als ob die auf einen Account zugang haben, aber das komische ist, das der ganze Qmail/Smtp Dienst beendet wurde und bei allen EMail Adressen das Kennwort geändert.

Oder mache ich mir gerade umsonst sorgen?

Mfg
Kenny

 

[Roger Wilco]

Schau in /etc/xinetd.d/* und /etc/xinetd.conf nach, ob du einen Service für Port 25 eingerichet hast.

 

[Kenny1980]

Hi,
vielen Dank für deine Antwort,

also ich hab das Verzeichnis gecheckt und wegen dem mistigen Plesk scheint mal wieder nur die hälfte im Verzeichnis zu sein.

Ich hab mal n Pic gemacht wo welcher Port angegeben ist.

MOD : Bilder bitte immer als Anhang.


Mfg
Kenny

 

[Roger Wilco]

/etc/xinetd.d/smtp_psa und /etc/xinetd.d/smtps_psa...

 

[Kenny1980]

Find ich echt super das du mir so hilfst.

service smtp
{
	socket_type     = stream
	protocol        = tcp
	wait            = no
	disable		= no
	user            = root
	instances       = UNLIMITED
	server          = /var/qmail/bin/tcp-env
	server_args     = /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}

service smtps
{
	socket_type     = stream
	protocol        = tcp
	wait            = no
	disable		= no
	user            = root
	instances       = UNLIMITED
	server          = /var/qmail/bin/tcp-env
	server_args     = /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}

Mfg
Kenny

 

[Roger Wilco]

Jetzt disable in den Dateien auf yes setzen und xinetd neustarten.

 

[Kenny1980]

Hmm,
ich versteh das jetzt nicht ganz. Der sendet doch mit den Einstellungen doch auch ganz normal über QMail. Aber das hatte ich ja deaktiviert.

Es dürfte da doch kein Versand stattfinden oder?

Mfg
Kenny

 

[Kenny1980]

Ui,
seit ich jetzt die Einstellung gemacht habe schickt meine Adresse anonymous@mydomain.de Nachrichten raus.

Hier ein Logfile:

Oct 28 20:13:57 [Meine IP] qmail: 1193598837.894696 new msg 195526670
Oct 28 20:13:57 [Meine IP] qmail: 1193598837.895101 info msg 195526670: bytes 546 from <anonymous@mydomain.de> qp 1545 uid 30
Oct 28 20:13:57 [Meine IP] qmail: 1193598837.903188 starting delivery 12: msg 195526670 to remote r57ssh@gmail.com
Oct 28 20:13:57 [Meine IP] qmail: 1193598837.903265 status: local 0/10 remote 1/20
Oct 28 20:13:58 [Meine IP] qmail: 1193598838.819812 delivery 12: success: 209.85.129.27_accepted_message./Remote_host_said:_250_2.0.0_OK_1193598838_g28si10759630fkg/
Oct 28 20:13:58 [Meine IP] qmail: 1193598838.819895 status: local 0/10 remote 0/20
Oct 28 20:13:58 [Meine IP] qmail: 1193598838.819941 end msg 195526670

Ist Uid 30 nicht Apache?

Mfg
Kenny

 

[Roger Wilco]

Ist Uid 30 nicht Apache?

Normalerweise schon. Davon abgesehen ist die R57-Shell (auf welche die Empfängeradresse schließen lässt) auch nicht angenehm, siehe z. B. REDAXO FORUM - Redaxo - Site wegen SPAM - Verschickung gesperrt. - Content Management System [CMS] - Kostenlos - Frei - PHP - MySQL - Open-Source | Forum | forum.redaxo.de. Überprüfe deine Skripte auf ausnutzbare Lücken und vergleiche die Einträge im Mail Log mit den Zugriffslogs deines Webservers.

 

[Kenny1980]

Hmm, ich finde noch keinen Zusammenhang, wieso jetzt auf einmal diese Mails raus gehen. Als die 2 Einstellungen die du mir gegeben hattest auf No waren gab es diesen Versand nicht.

Und ich konnte meine Mails auch verschicken.

Nur wenn ich das auf No setzte, dann schreibt es wieder meine xinetd.log voll mit den oben erwähnten zufgriffen.

MFg
Kenny

 

[Huschi]

Du mußt erstmal erkennen, daß /etc/initd/qmail nur der Mail-Server ist. Also eine Blackbox, die lediglich die Mail-Queue verwaltet und die Zustellung nach extern (remote) und lokal (local) vornimmt.

Mails kommen auf zwei Wegen in diese Mail-Queue:
1.) per qmail-smtpd
2.) per qmail-inject

Erstes ist das Programm, welches über den xinetd aufgerufen wird. Wichtige Erkenntnis: Nicht Qmail lauscht auf Port 25 (SMTP) sondern xinetd.

Zweites ist eine Programm-Pipe welche z.B. vom "sendmail"-Ersatz-Programm aufgerufen wird.

Um also Qmail vollständig zu stoppen, mußt Du sowohl Qmail als auch xinetd stoppen.
Zusätzlich gehört immer ein Blick in die Prozessliste um zu überprüfen, ob Qmail und xinetd wirklich gestoppt worden sind.

Zusätzlich muß man bei Plesk beachten, daß es den Watchdog gibt, der ggf. beide Programm einfach wieder startet, was Deine Logfiles auch beweisen.

huschi.

 

[Kenny1980]

Hmm,
ok, das verstehe ich ja alles.

Nur gibt es keine Möglichkeit nur Mails von vornerein anzunehmen, die nur an meine 3 Domains gerichtet sind?

Ebenso wie kann ich eine Absender Adresse denn komplett Sperren ? zb Anonymous@mydomain.de ?

Und Frage 3: In welchem Log kann ich am besten schauen welches Script auf meinem Webserver zugegriffen wurde? (Apache) zu einer bestimmten Uhrzeit.

Mfg
Kenny

 

[Huschi]

nur Mails anzunehmen, die an meine 3 Domains gerichtet sind?

Ja, so ist Qmail grundsätzlich eingestellt. Plus Hostname.

Ebenso wie kann ich eine Absender Adresse denn komplett Sperren ?

CatchAll abschalten und nur die Addy's einrichten, die Du brauchst.
Und dann noch Bounces vermeiden. (Ist irgendwo in Plesk pro Domain einstellbar.)

In welchem Log kann ich am besten schauen welches Script auf meinem Webserver zugegriffen wurde? (Apache) zu einer bestimmten Uhrzeit.

Frage und Antwort zusammen. Prima!

huschi.

 

[Kenny1980]

Hmm, hat sich mittlerweile eh erledigt. Scheint irgendwo ein tieferer Wurm im System zu sein. Werde den Server neu aufsetzen und dann bin ich auf der sicheren Seite.

Mfg
Kenny