Mailer Loop

Rund um die Sicherheit des Systems und die Applikationen
svenmat
Posts: 10
Joined: 2006-01-02 16:12

Mailer Loop

Post by svenmat » 2006-01-02 16:33

Ich habe seit einigen Wochen 600 - 800 GByte Traffic auf meinem Server und dieser Traffic kommt nicht von meinen Seiten auf dem Server.

Ich habe also die Logfiles durchgelesen und folgendes gefunden in der mail.warn:

Oct 24 20:10:37 h4202 postfix/smtp[13006]: warning: mailer loop: best MX host for brasilnet.net is local
Oct 25 02:30:36 h4202 postfix/smtp[4610]: warning: no MX host for meganet.tectoy.com has a valid A record
Oct 25 02:30:40 h4202 postfix/smtp[3467]: warning: no MX host for tvcultura.com has a valid A record



Und davon gibt es hunderte Einträge im Logfile, ich denke das benutzt jemand meinen Server zum mailen. Nun folgende frage, wie kann ich das abstellen?
Ich benutze Suse 9.0 und die Firewall ist an...

Bitte nicht meckern, ich habe den Server noch nicht lange...

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Mailer Loop

Post by alexander newald » 2006-01-02 17:05

Den Traffic pro Tag, Woche, Monat?

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:07

Im Monat, ich hatte vorher kaum mehr als 80 GB

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Mailer Loop

Post by alexander newald » 2006-01-02 17:09

Wieviele Einträge hast du im Dezember in /var/log/mail ? Was sagt

mailq

?

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:19

23648 Einträge vom 13 dez bis 31 dez

mailq ?

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:21

Mail queue is empty

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Mailer Loop

Post by alexander newald » 2006-01-02 17:25

Das ist eigendlich nicht viel. Was läuft denn alles sonst noch auf dem Server. (ps xafu in

Code: Select all

 tags posten, damit man es besser lesen kann).

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:28

Aufgefallen ist es mir ja nur weil ich plötzlich nach 8 Monaten 120 Euro für Extratraffic zahlen musste... nerv...
Ich habe wohl nicht genug auf den Server geachtet.
Mein Traffic vorher war nie über 80 GB und nun bis zu 800 GB...

Ich habe dort 4 Seiten laufen mit PHP Scripten, Postnuke und Mambo...
Wie finde ich raus was noch läuft?

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Mailer Loop

Post by alexander newald » 2006-01-02 17:31

Einloggen und dann

ps xafu

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:33

Code: Select all

USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.1  0.0   620  256 ?        S    16:17   0:06 init [3]
root         2  0.0  0.0     0    0 ?        SW   16:17   0:00 [keventd]
root         3  0.0  0.0     0    0 ?        SWN  16:17   0:00 [ksoftirqd_CPU0]
root         4  0.0  0.0     0    0 ?        SW   16:17   0:00 [kswapd]
root         5  0.0  0.0     0    0 ?        SW   16:17   0:00 [bdflush]
root         6  0.0  0.0     0    0 ?        SW   16:17   0:00 [kupdated]
root        10  0.0  0.0     0    0 ?        SW   16:17   0:00 [khubd]
root        11  0.0  0.0     0    0 ?        SW   16:17   0:00 [kjournald]
root        56  0.0  0.0     0    0 ?        SW   16:17   0:00 [kjournald]
root       508  0.0  0.0  1520  472 ?        S    16:17   0:00 /sbin/dhcpcd -H -
root       575  0.0  0.1  1560  624 ?        S    16:17   0:00 /sbin/syslogd -a
root       578  0.0  0.3  2488 1552 ?        S    16:17   0:00 /sbin/klogd -c 1
bin        597  0.0  0.0  1516  400 ?        S    16:17   0:00 /sbin/portmap
root       637  0.0  0.1  2172  880 ?        S    16:17   0:00 /usr/sbin/xinetd
root       638  0.0  0.2  4136 1068 ?        S    16:17   0:00 /usr/sbin/saslaut
root       639  0.0  0.2  4456 1396 ?        S    16:17   0:00  _ /usr/sbin/sas
root       640  0.0  0.2  4456 1396 ?        S    16:17   0:00  _ /usr/sbin/sas
root       641  0.0  0.2  4136 1068 ?        S    16:17   0:00  _ /usr/sbin/sas
root       642  0.0  0.2  4136 1068 ?        S    16:17   0:00  _ /usr/sbin/sas
root       647  0.0  0.2  2460 1092 ?        S    16:17   0:00 /bin/sh /usr/bin/
mysql      683  0.0  0.7 22644 3936 ?        S    16:17   0:00  _ /usr/sbin/mys
mysql      966  0.0  0.7 22644 3936 ?        S    16:17   0:00      _ /usr/sbin
mysql      967  0.0  0.7 22644 3936 ?        S    16:17   0:00          _ /usr/
root       677  0.0  0.3  4912 1612 ?        S    16:17   0:00 /usr/sbin/sshd -o
root      2268  0.0  0.4  5716 2424 ?        S    17:01   0:00  _ sshd: root@no
root      2269  0.0  0.4  5716 2424 ?        S    17:01   0:00      _ sshd: roo
root      2271  0.0  0.2  4944 1460 ?        S    17:01   0:00      _ /usr/lib/
root       690  0.0  0.0  1352  280 ?        S    16:17   0:00 /sbin/startpar -f
named      740  0.0  0.4 11120 2484 ?        S    16:17   0:00 /usr/sbin/named -
named      741  0.0  0.4 11120 2484 ?        S    16:17   0:00  _ /usr/sbin/nam
named      742  0.0  0.4 11120 2484 ?        S    16:17   0:00      _ /usr/sbin
named      743  0.0  0.4 11120 2484 ?        S    16:17   0:00      _ /usr/sbin
named      744  0.0  0.4 11120 2484 ?        S    16:17   0:00      _ /usr/sbin
root      1617  0.0  0.2  4168 1340 ?        S    16:17   0:00 /usr/lib/postfix/
postfix   1629  0.0  0.2  4204 1312 ?        S    16:17   0:00  _ pickup -l -t
postfix   1630  0.0  0.2  4224 1392 ?        S    16:17   0:00  _ qmgr -l -t fi
postfix   2469  0.0  0.4  5760 2132 ?        S    17:19   0:00  _ smtpd -n smtp
postfix   2470  0.0  0.2  4192 1280 ?        S    17:19   0:00  _ proxymap -t u
postfix   2471  0.0  0.3  5232 1800 ?        S    17:19   0:00  _ cleanup -z -t
postfix   2472  0.0  0.3  5068 1732 ?        S    17:19   0:00  _ trivial-rewri
postfix   2473  0.0  0.3  5068 1684 ?        S    17:19   0:00  _ trivial-rewri
postfix   2474  0.0  0.3  4352 1636 ?        S    17:19   0:00  _ local -t unix
root      1681  0.0  0.1 12272  788 ?        S    16:18   0:00 /usr/sbin/nscd
root      1682  0.0  0.1 12272  788 ?        S    16:18   0:00  _ /usr/sbin/nsc
root      1683  0.0  0.1 12272  788 ?        S    16:18   0:00      _ /usr/sbin
root      1684  0.0  0.1 12272  788 ?        S    16:18   0:00      _ /usr/sbin
root      1685  0.0  0.1 12272  788 ?        S    16:18   0:00      _ /usr/sbin
root      1686  0.0  0.1 12272  788 ?        S    16:18   0:00      _ /usr/sbin
root      1687  0.0  0.1 12272  788 ?        S    16:18   0:00      _ /usr/sbin
root      1688  0.0  0.1  1516  584 ?        S    16:18   0:00 /usr/sbin/cron
root      2475  0.0  0.0     0    0 ?        Z    17:19   0:00  _ [cron] <defun
root      1692  0.0  0.0  1500  512 tty1     S    16:18   0:00 /sbin/mingetty --
root      1693  0.0  0.0  1500  512 tty2     S    16:18   0:00 /sbin/mingetty tt
root      1694  0.0  0.0  1500  512 tty3     S    16:18   0:00 /sbin/mingetty tt
root      1695  0.0  0.0  1500  512 tty4     S    16:18   0:00 /sbin/mingetty tt
root      1696  0.0  0.0  1500  512 tty5     S    16:18   0:00 /sbin/mingetty tt
root      1697  0.0  0.0  1500  512 tty6     S    16:18   0:00 /sbin/mingetty tt
root      1698  0.0  0.2  2324 1140 ?        S    16:18   0:00 login -- root
root      1751  0.0  0.3  2836 1572 ttyS0    S    16:19   0:00  _ -bash
root      2483  0.0  0.1  2664  716 ttyS0    R    17:20   0:00      _ ps xafu
root      1699  0.0  2.3 29912 11844 ?       S    16:18   0:00 /usr/sbin/httpd2-
root      1700  0.0  0.2  3312 1404 ?        S    16:18   0:00  _ /usr/bin/perl
wwwrun    1975  0.0  2.6 30728 13396 ?       S    16:38   0:00  _ /usr/sbin/htt
wwwrun    2154  0.0  2.6 30716 13448 ?       S    16:53   0:00  _ /usr/sbin/htt
wwwrun    2162  0.0  2.6 30824 13432 ?       S    16:53   0:00  _ /usr/sbin/htt
wwwrun    2276  0.0  2.4 30316 12712 ?       S    17:01   0:00  _ /usr/sbin/htt
wwwrun    2346  0.0  2.5 30384 12996 ?       S    17:07   0:00  _ /usr/sbin/htt
wwwrun    2378  0.0  2.4 30332 12688 ?       S    17:10   0:00  _ /usr/sbin/htt
wwwrun    2379  0.0  2.5 30424 12912 ?       S    17:10   0:00  _ /usr/sbin/htt
wwwrun    2407  0.0  2.3 29912 11952 ?       S    17:14   0:00  _ /usr/sbin/htt
wwwrun    2438  0.0  2.3 29912 11948 ?       S    17:16   0:00  _ /usr/sbin/htt
wwwrun    2479  0.2  2.4 30332 12676 ?       S    17:20   0:00  _ /usr/sbin/htt

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:34

Also zur Zeit ist der Traffic runter, das wird daran liegen das ich 2 mal neu gestartet habe...

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Mailer Loop

Post by alexander newald » 2006-01-02 17:36

und somit auch alle Spuren weg sind, wo es herkam.

Was ist

Code: Select all

root       690  0.0  0.0  1352  280 ?        S    16:17   0:00 /sbin/startpar -f
Was liegt in /tmp

Was sagen die letzten 10 - 20 Zeilen von

ls -ltr /dev ?

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 17:41

Im Verzeichnis von tmp liegt ein leeres Verzeichnis mit dem Namen:
vi.recover
und eine Datei mit dem Namen : tlsd
Im Header dieser Datei steht folgendes :

Code: Select all

#!/usr/bin/perl
# Telnet-like Standard Daemon 0.7
#
#    0ldW0lf - oldwolf@atrixteam.net
#            - old-wolf@zipmai.com
#            - www.atrix.cjb.net
#            - www.atrixteam.net
#
#  For those guys that still like to open ports
#  and use non-rooted boxes
#
#  This has been developed to join in the TocToc
#  project code, now it's done and I'm distributing
#  this separated
#
#  This one i made without IO::Pty so it uses
#  only standard modules... enjoy it
#
#  tested on linux boxes.. probably will work fine on others
#  any problem... #atrix@irc.brasnet.org
#
Sieht mir irgendwie nach einer Datei aus die nicht auf den Server gehört...

Die letzten 20 Zeilen:

Code: Select all

crw-------    1 root     tty        4,   9 Jan  2 16:17 tty9
crw-------    1 root     tty        4,   8 Jan  2 16:17 tty8
crw-------    1 root     tty        4,   7 Jan  2 16:17 tty7
crw-------    1 root     tty        4,  20 Jan  2 16:17 tty20
crw-------    1 root     tty        4,  19 Jan  2 16:17 tty19
crw-------    1 root     tty        4,  18 Jan  2 16:17 tty18
crw-------    1 root     tty        4,  17 Jan  2 16:17 tty17
crw-------    1 root     tty        4,  16 Jan  2 16:17 tty16
crw-------    1 root     tty        4,  15 Jan  2 16:17 tty15
crw-------    1 root     tty        4,  14 Jan  2 16:17 tty14
crw-------    1 root     tty        4,  13 Jan  2 16:17 tty13
crw-------    1 root     tty        4,  12 Jan  2 16:17 tty12
crw-r-----    1 root     root      10,   1 Jan  2 16:17 psaux
prw-------    1 root     tty             0 Jan  2 16:17 xconsole
prw-r-----    1 root     root            0 Jan  2 16:18 blog
crw-rw----    1 root     tty        4,   6 Jan  2 16:18 tty6
crw-rw----    1 root     tty        4,   5 Jan  2 16:18 tty5
crw-rw----    1 root     tty        4,   4 Jan  2 16:18 tty4
crw-rw----    1 root     tty        4,   3 Jan  2 16:18 tty3
crw-rw----    1 root     tty        4,   2 Jan  2 16:18 tty2
crw-rw----    1 root     tty        4,   1 Jan  2 16:18 tty1
crw-------    1 root     tty        4,  10 Jan  2 17:27 tty10
crw--w----    1 root     tty        4,  64 Jan  2 17:27 ttyS0

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mailer Loop

Post by Joe User » 2006-01-02 18:01

Deine Kiste wurde "gehackt" -> Reinitialisieren!
http://www.rootforum.org/faq/index.php ... artlang=de

Vermutlich wurde postnuke und/oder mambo als Türöffner genutzt...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 18:04

Ich habe es ja schon geahnt...
So ein Mist aber auch...

svenmat
Posts: 10
Joined: 2006-01-02 16:12

Re: Mailer Loop

Post by svenmat » 2006-01-02 18:16

Sorry, fast vergessen :-)

Ich danke dir für deine Hilfe...