lost connection after CONNECT from localhost

[rot]

Hallo,

auf meinem neuen Server finde ich gelegentlich solche Einträge im Maillog:

Code: Select all

Nov  5 22:13:20 host postfix/smtpd[8036]: connect from localhost[127.0.0.1]
Nov  5 22:13:20 host postfix/smtpd[8036]: lost connection after CONNECT from localhost[127.0.0.1]
Nov  5 22:13:20 host postfix/smtpd[8036]: disconnect from localhost[127.0.0.1]

Diese Einträge kommen vollkommen unwillkürlich - manchmal mehrere innerhalb weniger Minuten, dann wieder stundenlang gar nichts.

Da ich Postfix in Kombination Amavis+Spamassassin+ClamAV einsetze, wollte ich wissen, ob Amavis da vielleicht öffnet und wieder schließt. Aber: "tcpdump -i lo -vv" hat nichts protokolliert! D. h. weder auf Port 25, noch an Port 10025 sind über lo Daten geflossen.

Was kann das sein - sollte ich mir Sorgen machen?

[rot]

*push*

Hat keiner eine Idee, was das sein kann?

[posterisan]

Hallo rot,

ich hab das gleiche Problem, habe auch schon per tcpdump gesucht und nichts gefunden. Ich verwende Postfix -> dspam -> cyrus.
Konnte bisher auch nicht finden woher es kommt. Postfix ist die aktuellste Version.
Habe dann mal probehalber in der main.cf folgendes aktiviert:

Code: Select all

debug_peer_list = 127.0.0.1
debug_peer_level = 5

Danach taucht unter anderem folgendes im maillog auf:

Code: Select all

> localhost[127.0.0.1]: 220 mail.XXXX.eu ESMTP Postfix
 watchdog_pat: 0xa05f0b0
 vstream_fflush_some: fd 22 flush 34
 smtp_get: EOF

Hat aber auch nichts erbracht. Mittlerweile weiss ich auch nicht weiter. :?

Habe auch mal anhand der Zeiten im maillog in den anderen Log-Files nach auffälligkeiten gesucht, nix zu finden.

Vielleicht irgendein unentdeckter Bug in postfix bei bestimmten Konfigurationen? Woher sollte sonst der connect von 127.0.0.1 kommen wenn tcpdump nix mitbekommt?

Gruss Andre

[rot]

Nochmal ich...

Kann es sein, dass das nur ein fehlerhaftes Protokoll ist und die Anfragen tatsächlich aus dem IP-Bereich 222.252.128.0 - 222.252.255.255 o. ä. kommen?

Hintergrund: Dieser Bereich löst zum Namen "localhost" auf. Und ich weiß nicht, wie Postfix dabei wirklich reagiert.

Dazu würde ja passen, dass auf der Schnittstelle "lo" nichts passiert ist, die "Verbindung" (in diesem Fall wohl eher ein Portscan?) also über eth0:x gekommen sein muss...

[lucki2]

Protokollier mal mehr traffic, dann müßtest Du was sehen. Auf allen relevanten ifs - also nicht nur lo sondern z.B. auch ethx bzw die subs eth0:x, auch Wan-interface. Alles, wo Dir wer was unterjubeln könnte. Evtl. Port einschränken, daß es nicht zu viel wird. Dann siehst Du wahrscheinlich was. Kann auch sein das Dir jemand Pakete mit 127.0.0.1 von wo anders schickt.

[rot]

Ja, es scheint so zu sein:

Auszug aus dem Maillog
Nov 25 15:19:37 mail postfix/smtpd[11912]: connect from localhost[127.0.0.1]
Nov 25 15:19:37 mail postfix/smtpd[11912]: lost connection after CONNECT from localhost[127.0.0.1]
Nov 25 15:19:37 mail postfix/smtpd[11912]: disconnect from localhost[127.0.0.1]

Code: Select all

# tcpdump -n -i eth1 port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
[...]
15:19:37.238936 IP 89.1.203.252.62761 > $meinserver.25: S 11509532:11509532(0) win 65535 <mss 1440,nop,nop,sackOK>
15:19:37.238963 IP $meinserver.25 > 89.1.203.252.62761: S 4262432060:4262432060(0) ack 11509533 win 5840 <mss 1460,nop,nop,sackOK>
15:19:37.374990 IP 89.1.203.252.62761 > $meinserver.25: . ack 1 win 65535
15:19:37.381864 IP 89.1.203.252.62761 > $meinserver.25: R 1:1(0) ack 1 win 0
[...]

Da scheint also jemand aus Israel (89.1.203.252 => 89.1.203.252.dynamic.barak-online.net) einen Portscan mit falscher Absenderangabe (127.0.0.1) zu machen, deute ich das richtig?

Wenn ja: Darf ich ruhig weiterschlafen, oder sollte mir das zu denken geben?

[lucki2]

Ich habe was anderes gemeint.
zum Bleistift:
nmap -P0 -e lo -S 192.168.35.38 127.0.0.1
Verfolg das auf ethx oder wo auch immer, dann siehst Du nichts. Aber auf lo siehst Du die ;)

(das ist hier andersrum)