Ich habe seit einigen Wochen 600 - 800 GByte Traffic auf meinem Server und dieser Traffic kommt nicht von meinen Seiten auf dem Server.
Ich habe also die Logfiles durchgelesen und folgendes gefunden in der mail.warn:
Oct 24 20:10:37 h4202 postfix/smtp[13006]: warning: mailer loop: best MX host for brasilnet.net is local
Oct 25 02:30:36 h4202 postfix/smtp[4610]: warning: no MX host for meganet.tectoy.com has a valid A record
Oct 25 02:30:40 h4202 postfix/smtp[3467]: warning: no MX host for tvcultura.com has a valid A record
Und davon gibt es hunderte Einträge im Logfile, ich denke das benutzt jemand meinen Server zum mailen. Nun folgende frage, wie kann ich das abstellen?
Ich benutze Suse 9.0 und die Firewall ist an...
Bitte nicht meckern, ich habe den Server noch nicht lange...
Mailer Loop
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Mailer Loop
Den Traffic pro Tag, Woche, Monat?
Re: Mailer Loop
Im Monat, ich hatte vorher kaum mehr als 80 GB
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Mailer Loop
Wieviele Einträge hast du im Dezember in /var/log/mail ? Was sagt
mailq
?
mailq
?
Re: Mailer Loop
23648 Einträge vom 13 dez bis 31 dez
mailq ?
mailq ?
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Mailer Loop
Das ist eigendlich nicht viel. Was läuft denn alles sonst noch auf dem Server. (ps xafu in
Code: Select all
tags posten, damit man es besser lesen kann).Re: Mailer Loop
Aufgefallen ist es mir ja nur weil ich plötzlich nach 8 Monaten 120 Euro für Extratraffic zahlen musste... nerv...
Ich habe wohl nicht genug auf den Server geachtet.
Mein Traffic vorher war nie über 80 GB und nun bis zu 800 GB...
Ich habe dort 4 Seiten laufen mit PHP Scripten, Postnuke und Mambo...
Wie finde ich raus was noch läuft?
Ich habe wohl nicht genug auf den Server geachtet.
Mein Traffic vorher war nie über 80 GB und nun bis zu 800 GB...
Ich habe dort 4 Seiten laufen mit PHP Scripten, Postnuke und Mambo...
Wie finde ich raus was noch läuft?
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Mailer Loop
Einloggen und dann
ps xafu
ps xafu
Re: Mailer Loop
Code: Select all
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.1 0.0 620 256 ? S 16:17 0:06 init [3]
root 2 0.0 0.0 0 0 ? SW 16:17 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SWN 16:17 0:00 [ksoftirqd_CPU0]
root 4 0.0 0.0 0 0 ? SW 16:17 0:00 [kswapd]
root 5 0.0 0.0 0 0 ? SW 16:17 0:00 [bdflush]
root 6 0.0 0.0 0 0 ? SW 16:17 0:00 [kupdated]
root 10 0.0 0.0 0 0 ? SW 16:17 0:00 [khubd]
root 11 0.0 0.0 0 0 ? SW 16:17 0:00 [kjournald]
root 56 0.0 0.0 0 0 ? SW 16:17 0:00 [kjournald]
root 508 0.0 0.0 1520 472 ? S 16:17 0:00 /sbin/dhcpcd -H -
root 575 0.0 0.1 1560 624 ? S 16:17 0:00 /sbin/syslogd -a
root 578 0.0 0.3 2488 1552 ? S 16:17 0:00 /sbin/klogd -c 1
bin 597 0.0 0.0 1516 400 ? S 16:17 0:00 /sbin/portmap
root 637 0.0 0.1 2172 880 ? S 16:17 0:00 /usr/sbin/xinetd
root 638 0.0 0.2 4136 1068 ? S 16:17 0:00 /usr/sbin/saslaut
root 639 0.0 0.2 4456 1396 ? S 16:17 0:00 _ /usr/sbin/sas
root 640 0.0 0.2 4456 1396 ? S 16:17 0:00 _ /usr/sbin/sas
root 641 0.0 0.2 4136 1068 ? S 16:17 0:00 _ /usr/sbin/sas
root 642 0.0 0.2 4136 1068 ? S 16:17 0:00 _ /usr/sbin/sas
root 647 0.0 0.2 2460 1092 ? S 16:17 0:00 /bin/sh /usr/bin/
mysql 683 0.0 0.7 22644 3936 ? S 16:17 0:00 _ /usr/sbin/mys
mysql 966 0.0 0.7 22644 3936 ? S 16:17 0:00 _ /usr/sbin
mysql 967 0.0 0.7 22644 3936 ? S 16:17 0:00 _ /usr/
root 677 0.0 0.3 4912 1612 ? S 16:17 0:00 /usr/sbin/sshd -o
root 2268 0.0 0.4 5716 2424 ? S 17:01 0:00 _ sshd: root@no
root 2269 0.0 0.4 5716 2424 ? S 17:01 0:00 _ sshd: roo
root 2271 0.0 0.2 4944 1460 ? S 17:01 0:00 _ /usr/lib/
root 690 0.0 0.0 1352 280 ? S 16:17 0:00 /sbin/startpar -f
named 740 0.0 0.4 11120 2484 ? S 16:17 0:00 /usr/sbin/named -
named 741 0.0 0.4 11120 2484 ? S 16:17 0:00 _ /usr/sbin/nam
named 742 0.0 0.4 11120 2484 ? S 16:17 0:00 _ /usr/sbin
named 743 0.0 0.4 11120 2484 ? S 16:17 0:00 _ /usr/sbin
named 744 0.0 0.4 11120 2484 ? S 16:17 0:00 _ /usr/sbin
root 1617 0.0 0.2 4168 1340 ? S 16:17 0:00 /usr/lib/postfix/
postfix 1629 0.0 0.2 4204 1312 ? S 16:17 0:00 _ pickup -l -t
postfix 1630 0.0 0.2 4224 1392 ? S 16:17 0:00 _ qmgr -l -t fi
postfix 2469 0.0 0.4 5760 2132 ? S 17:19 0:00 _ smtpd -n smtp
postfix 2470 0.0 0.2 4192 1280 ? S 17:19 0:00 _ proxymap -t u
postfix 2471 0.0 0.3 5232 1800 ? S 17:19 0:00 _ cleanup -z -t
postfix 2472 0.0 0.3 5068 1732 ? S 17:19 0:00 _ trivial-rewri
postfix 2473 0.0 0.3 5068 1684 ? S 17:19 0:00 _ trivial-rewri
postfix 2474 0.0 0.3 4352 1636 ? S 17:19 0:00 _ local -t unix
root 1681 0.0 0.1 12272 788 ? S 16:18 0:00 /usr/sbin/nscd
root 1682 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin/nsc
root 1683 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin
root 1684 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin
root 1685 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin
root 1686 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin
root 1687 0.0 0.1 12272 788 ? S 16:18 0:00 _ /usr/sbin
root 1688 0.0 0.1 1516 584 ? S 16:18 0:00 /usr/sbin/cron
root 2475 0.0 0.0 0 0 ? Z 17:19 0:00 _ [cron] <defun
root 1692 0.0 0.0 1500 512 tty1 S 16:18 0:00 /sbin/mingetty --
root 1693 0.0 0.0 1500 512 tty2 S 16:18 0:00 /sbin/mingetty tt
root 1694 0.0 0.0 1500 512 tty3 S 16:18 0:00 /sbin/mingetty tt
root 1695 0.0 0.0 1500 512 tty4 S 16:18 0:00 /sbin/mingetty tt
root 1696 0.0 0.0 1500 512 tty5 S 16:18 0:00 /sbin/mingetty tt
root 1697 0.0 0.0 1500 512 tty6 S 16:18 0:00 /sbin/mingetty tt
root 1698 0.0 0.2 2324 1140 ? S 16:18 0:00 login -- root
root 1751 0.0 0.3 2836 1572 ttyS0 S 16:19 0:00 _ -bash
root 2483 0.0 0.1 2664 716 ttyS0 R 17:20 0:00 _ ps xafu
root 1699 0.0 2.3 29912 11844 ? S 16:18 0:00 /usr/sbin/httpd2-
root 1700 0.0 0.2 3312 1404 ? S 16:18 0:00 _ /usr/bin/perl
wwwrun 1975 0.0 2.6 30728 13396 ? S 16:38 0:00 _ /usr/sbin/htt
wwwrun 2154 0.0 2.6 30716 13448 ? S 16:53 0:00 _ /usr/sbin/htt
wwwrun 2162 0.0 2.6 30824 13432 ? S 16:53 0:00 _ /usr/sbin/htt
wwwrun 2276 0.0 2.4 30316 12712 ? S 17:01 0:00 _ /usr/sbin/htt
wwwrun 2346 0.0 2.5 30384 12996 ? S 17:07 0:00 _ /usr/sbin/htt
wwwrun 2378 0.0 2.4 30332 12688 ? S 17:10 0:00 _ /usr/sbin/htt
wwwrun 2379 0.0 2.5 30424 12912 ? S 17:10 0:00 _ /usr/sbin/htt
wwwrun 2407 0.0 2.3 29912 11952 ? S 17:14 0:00 _ /usr/sbin/htt
wwwrun 2438 0.0 2.3 29912 11948 ? S 17:16 0:00 _ /usr/sbin/htt
wwwrun 2479 0.2 2.4 30332 12676 ? S 17:20 0:00 _ /usr/sbin/htt
Re: Mailer Loop
Also zur Zeit ist der Traffic runter, das wird daran liegen das ich 2 mal neu gestartet habe...
-
alexander newald
- Posts: 1117
- Joined: 2002-09-27 00:54
- Location: Hannover
- Contact:
Re: Mailer Loop
und somit auch alle Spuren weg sind, wo es herkam.
Was ist
Was liegt in /tmp
Was sagen die letzten 10 - 20 Zeilen von
ls -ltr /dev ?
Was ist
Code: Select all
root 690 0.0 0.0 1352 280 ? S 16:17 0:00 /sbin/startpar -fWas sagen die letzten 10 - 20 Zeilen von
ls -ltr /dev ?
Re: Mailer Loop
Im Verzeichnis von tmp liegt ein leeres Verzeichnis mit dem Namen:
vi.recover
und eine Datei mit dem Namen : tlsd
Im Header dieser Datei steht folgendes :
Sieht mir irgendwie nach einer Datei aus die nicht auf den Server gehört...
Die letzten 20 Zeilen:
vi.recover
und eine Datei mit dem Namen : tlsd
Im Header dieser Datei steht folgendes :
Code: Select all
#!/usr/bin/perl
# Telnet-like Standard Daemon 0.7
#
# 0ldW0lf - oldwolf@atrixteam.net
# - old-wolf@zipmai.com
# - www.atrix.cjb.net
# - www.atrixteam.net
#
# For those guys that still like to open ports
# and use non-rooted boxes
#
# This has been developed to join in the TocToc
# project code, now it's done and I'm distributing
# this separated
#
# This one i made without IO::Pty so it uses
# only standard modules... enjoy it
#
# tested on linux boxes.. probably will work fine on others
# any problem... #atrix@irc.brasnet.org
#
Die letzten 20 Zeilen:
Code: Select all
crw------- 1 root tty 4, 9 Jan 2 16:17 tty9
crw------- 1 root tty 4, 8 Jan 2 16:17 tty8
crw------- 1 root tty 4, 7 Jan 2 16:17 tty7
crw------- 1 root tty 4, 20 Jan 2 16:17 tty20
crw------- 1 root tty 4, 19 Jan 2 16:17 tty19
crw------- 1 root tty 4, 18 Jan 2 16:17 tty18
crw------- 1 root tty 4, 17 Jan 2 16:17 tty17
crw------- 1 root tty 4, 16 Jan 2 16:17 tty16
crw------- 1 root tty 4, 15 Jan 2 16:17 tty15
crw------- 1 root tty 4, 14 Jan 2 16:17 tty14
crw------- 1 root tty 4, 13 Jan 2 16:17 tty13
crw------- 1 root tty 4, 12 Jan 2 16:17 tty12
crw-r----- 1 root root 10, 1 Jan 2 16:17 psaux
prw------- 1 root tty 0 Jan 2 16:17 xconsole
prw-r----- 1 root root 0 Jan 2 16:18 blog
crw-rw---- 1 root tty 4, 6 Jan 2 16:18 tty6
crw-rw---- 1 root tty 4, 5 Jan 2 16:18 tty5
crw-rw---- 1 root tty 4, 4 Jan 2 16:18 tty4
crw-rw---- 1 root tty 4, 3 Jan 2 16:18 tty3
crw-rw---- 1 root tty 4, 2 Jan 2 16:18 tty2
crw-rw---- 1 root tty 4, 1 Jan 2 16:18 tty1
crw------- 1 root tty 4, 10 Jan 2 17:27 tty10
crw--w---- 1 root tty 4, 64 Jan 2 17:27 ttyS0
Re: Mailer Loop
Deine Kiste wurde "gehackt" -> Reinitialisieren!
http://www.rootforum.org/faq/index.php? ... artlang=de
Vermutlich wurde postnuke und/oder mambo als Türöffner genutzt...
http://www.rootforum.org/faq/index.php? ... artlang=de
Vermutlich wurde postnuke und/oder mambo als Türöffner genutzt...
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Re: Mailer Loop
Ich habe es ja schon geahnt...
So ein Mist aber auch...
So ein Mist aber auch...
Re: Mailer Loop
Sorry, fast vergessen :-)
Ich danke dir für deine Hilfe...
Ich danke dir für deine Hilfe...