qmail-smtpd und relaylock lassen Server einfrieren

vurt_runner
Posts: 13
Joined: 2003-12-29 18:52

qmail-smtpd und relaylock lassen Server einfrieren

Post by vurt_runner »

Hallo,

Seit knapp 2 Monaten laeuft mein neuer Root-Server:
1und1, plesk 8.6 mit Opensuse 10.3

seit nun gut 2 Wochen kaempfe ich mit einem sporatisch auftretenden Problem - so aller 1-2 Tage.
Das Problem fuehrt soweit, das der Server noch ansprechbar ist, ich noch per ssh auch draufkomme, aber alle Dienste wie Mail, Web und Mysql einfrieren.
das einzigste was ich bisher herausfinden konnte, ist folgendes:
ein #ps ax gibt mir eine endlose Anzahl an folgenden Tasks:

6822 ? Ss 0:00 /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true

dieser Eintrag erscheint so ca. 400 - 500 mal.
In den logfiles kann ich nicht auffaelliges feststellen.
meine bisherige "Loesung" des Problemes ist ein reboot des Servers, was ja nun nicht gerade als die feine Art gelten duerfte, zudem ich ja nun nicht immer an der Kiste sitze um meinen Server zu beobachten.

Hat jemand vllt. dieses Problem schon mal gesichtet und eine Loesung?
vielen Dank
thomas
Top

vurt_runner
Posts: 13
Joined: 2003-12-29 18:52

Re: qmail-smtpd und relaylock lassen Server einfrieren

Post by vurt_runner »

Hallo,

2. Ein PHP Script z.B. wird zum versenden von MAssenhaft Spammails missbraucht.


das Mailaufkommen ist laut der diversen Maillogs normal, ich werd mir mal als naechstes die httpd-logs durchschauen.

das einzigste was mir jetzt auffiel, war in dem Zeitraum heute wo der Server einfror, diese Eintraege in /var/log/messages:

Feb 12 18:17:05 s15328898 sshd[6294]: Address 75.125.146.66 maps to pmbo.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 18:17:06 s15328898 sshd[6296]: Address 75.125.146.66 maps to pmbo.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 18:17:06 s15328898 sshd[6296]: Invalid user wazup from 75.125.146.66
Feb 12 18:17:07 s15328898 sshd[6298]: Address 75.125.146.66 maps to pmbo.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 18:17:07 s15328898 sshd[6298]: Invalid user oracle from 75.125.146.66
Feb 12 18:17:08 s15328898 sshd[6300]: Address 75.125.146.66 maps to pmbo.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 18:17:08 s15328898 sshd[6300]: Invalid user user from 75.125.146.66
Feb 12 18:17:09 s15328898 sshd[6302]: Address 75.125.146.66 maps to pmbo.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 12 18:17:09 s15328898 sshd[6302]: Invalid user test from 75.125.146.66

danach greift mein fail2ban und hat adresse gesperrt.
Nur diese POSSIBLE BREAK-IN ATTEMPT! hab ich so noch nie gesehen ...

aber was auffaellt ist, das ab da keine Eintraege mehr im Log sind bzgl. smtp oder qmail ...

mal was anderes nebenher, ich hab mich jetzt echt totgesucht, aber was macht genau relaylock? ich finde weder eine man-page, noch was auf der qmail-website. brauch ich den relaylock, wenn ich emails eh nur mit imap und smpt-auth abhole bzw. versende?

danke gruss
thomas
Top

vurt_runner
Posts: 13
Joined: 2003-12-29 18:52

Re: qmail-smtpd und relaylock lassen Server einfrieren

Post by vurt_runner »

matzewe01 wrote:relaylock:
Es handelt sich hier schlicht weg um eine Qmail Erweiterung welche POP before SMTP erlaubt.
Dabei halt auch lästig loggd.


Danke,

dann geh ich richtig in der Annahme, das ich den Eintrag in der conf-datei fuer den xinetd entfernen kann? ich benutze auf diesen Server definitiv kein POP before SMTP.
server_args = -Rt0 /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true

gruss
thomas
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: qmail-smtpd und relaylock lassen Server einfrieren

Post by Roger Wilco »

Top