Bitte um Erklärung in /var/log/warn

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
knicki
Posts: 43
Joined: 2003-05-07 20:42

Bitte um Erklärung in /var/log/warn

Post by knicki » 2003-09-17 21:45

Hallo,

auch ich habe in den letzten Tagen viel mit Spam und Replys zu tun gehabt. Glücklicherweise wurde mein Server als nicht offenes Relay getestet.

Kann mir aber bitte jemand verraten, was dieser Eintrag in /var/log/warn bedeutet ?

Code: Select all


Sep 17 21:39:26 p15134xxx postfix/smtp[658]: warning: host www.domain.de[217.xxx.xxx.xx] greeted me with my own hostname p15134xxx.pureserver.
Sep 17 21:39:26 p15134xxx postfix/smtp[658]: warning: host www.domain.de[217.xxx.xxx.xx] replied to HELO/EHLO with my own hostname p15134xxx.

Alternativ dazu finde ich in var/log/mail

Code: Select all


Sep 17 21:42:53 p15134xxx postfix/local[849]: 8BCEC8433A: to=<web10@p15134xxx.pureserver.info>, relay=local, delay=94131, status=bounced (cannot access mailb
Sep 17 21:42:53 p15134xxx postfix/smtp[758]: connect to mailin-02.mx.aol.com[64.12.138.89]: server refused mail service (port 25)
Diese Datei geht täglich auf über 1 GB, was liegt noch der Haken am Server ?

Gruß Knicki

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Bitte um Erklärung in /var/log/warn

Post by dodolin » 2003-09-18 03:16

Leider hast du alle wesentlichen Infos ausgeXt.

a) Könnte es sein, dass dein Rootserver momentan noch keinen Reverse DNS Eintrag hat?
b) Könnte es sein, dass der Rechner, der mit dem eigenen HELO grüßt gehackt ist oder nen offenen Proxy hat? Melde das bitte sofort an Abuse!
c) Wenn du damit nicht klarkommst, poste bitte die Daten hier komplett. Dann können wir z.B. selbst mal nachgucken, ob dieser Rechner ok ist, etc.
d) Vor allem glaube ich, dass da bei dir sehr wohl was im Argen liegen könnte, wenn deine Logs täglich 1 GB groß sind. Ich rate dir dringend, den MTA und den Webserver sofort runterzufahren, bis du die Ursache gefunden hast! Wenn's danach auch nicht aufhört -> Rescue-Modus.

knicki
Posts: 43
Joined: 2003-05-07 20:42

Re: Bitte um Erklärung in /var/log/warn

Post by knicki » 2003-09-18 18:59

b) Könnte es sein, dass der Rechner, der mit dem eigenen HELO grüßt gehackt ist oder nen offenen Proxy hat? Melde das bitte sofort an Abuse!
Leider habe ich heute eine Mail von 1&1 bekommen - es ist ein offener Proxy :-(

Ich habe erstmal die betroffenen Dienste abgeschaltet und nehme eine Dusche. Dann setzt ich mich daran. ich denke im Security-Bereich werde ich etwas finden, wobei die Such-Funktion noch nicht so den gewünschten Erfolg gebracht hat.

Falls mit jemand schnell einen Tipp geben kann, ich bin für jeden dankbar !

Gruß

Knicki

knicki
Posts: 43
Joined: 2003-05-07 20:42

Re: Bitte um Erklärung in /var/log/warn

Post by knicki » 2003-09-18 21:04

Okay, ich denke, ich habe das ganze in den Griff bekommen.

In den letzten 20 Minuten keine SPAM-Mails mehr ..... statt 20 Seiten LOGFILE pro Minute nur eine Seite für 10 Minuten.

Ich werde das morgen nochmal genauer analysieren.

Vielen Dank für die Hilfe !

bye
Knicki

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Bitte um Erklärung in /var/log/warn

Post by dodolin » 2003-09-19 02:07

Bei Apache mod_proxy nicht laden. Hilft schonmal viel.