Forum Debian Users Gang

Karotek · 2024-05-16 14:30:07

W ostatnim czasie zaobserwowałem że na wewnętrznym serwerze mam podążanie dużego sysloga.
Przez podejrzanie dużego mam na myśli że ma po kilka giga

1,9G syslog
2,3G syslog.1
61M syslog.2.gz
23M syslog.3.gz

Z tego co widzę to wygląda to tak jakby coś próbowało wysyłać maile ale operacja zostaje zakończona niepowodzeniem.
Do tego część adresów wygląda naprawdę dziwnie, gmaila jeszcze rozumiem ale uszczelka home? Pierwsze taki adres widzę...

Niestety te logi nie mówią mi za wiele :( Pomożecie zdiagnozować co tu może się dziać?

Poniżej krótkie wycinki ale generalnie to leci w tysiące.
Jak robię tail -f to wyglada to tak że nic się nie dzieje, później w sekundę lecą jak szalone i znowu chwila przerwy

May 16 14:07:12 goServer dma[11f7be.562670251810]: connect to uszczelka.home.pl [212.85.97.133] failed: Connection timed out
May 16 14:07:12 goServer dma[122c86.55d7017eff00]: connect to mail.concaverwheels.com [185.135.90.49] failed: Connection timed out
May 16 14:07:12 goServer dma[12202a.55c82f842c30]: connect to mail40.mydevil.net [128.204.216.123] failed: Connection timed out
May 16 14:07:12 goServer dma[122f78.5555f65ae2f0]: can not bounce a bounce message, discarding
May 16 14:07:12 goServer dma[122a28.55d7017eff00]: can not bounce a bounce message, discarding
May 16 14:07:12 goServer dma[121f20.55b00a033fc0]: connect to gmail-smtp-in.l.google.com [66.102.1.27] failed: Connection timed out
May 16 14:11:44 goServer dma[121ef1.5587154e7fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121f14.55cf325f6fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121f00.55cd6fcc0fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121ee3.563d86ffc680]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121ef1.5587154e7fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f00.55cd6fcc0fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f14.55cf325f6fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121ee3.563d86ffc680]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121ef1.5587154e7fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121f00.55cd6fcc0fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121f14.55cf325f6fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121ee3.563d86ffc680]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[1222cd.5599c4896fc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:44 goServer dma[121ef8.5593b68fdfc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:44 goServer dma[121f1c.561c4e72dfc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:44 goServer dma[1222cd.5599c4896fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121ef8.5593b68fdfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121f24.5635d4b8cfc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:44 goServer dma[121f1c.561c4e72dfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[1222cd.5599c4896fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f24.5635d4b8cfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121ef8.5593b68fdfc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f1c.561c4e72dfc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[1222cd.5599c4896fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121ef8.5593b68fdfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121f1c.561c4e72dfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121f24.5635d4b8cfc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f24.5635d4b8cfc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:44 goServer dma[121f2a.55d7109a7fc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:44 goServer dma[121f2a.55d7109a7fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:44 goServer dma[121f2a.55d7109a7fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:44 goServer dma[121f2a.55d7109a7fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:46 goServer dma[121ef3.5639d80f5fc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:46 goServer dma[121e78.563d86ffc680]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:46 goServer dma[1222d9.55b99fed8fc0]: connect to alt2.gmail-smtp-in.l.google.com [142.251.9.27] failed: Connection timed out
May 16 14:11:46 goServer dma[121ef3.5639d80f5fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:46 goServer dma[1222d9.55b99fed8fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:46 goServer dma[121e78.563d86ffc680]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] pref 30
May 16 14:11:46 goServer dma[121ef3.5639d80f5fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:46 goServer dma[1222d9.55b99fed8fc0]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:46 goServer dma[121e78.563d86ffc680]: connect to alt3.gmail-smtp-in.l.google.com [2a00:1450:4010:c1c::1a] failed: Network is unreachable
May 16 14:11:46 goServer dma[121ef3.5639d80f5fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:46 goServer dma[1222d9.55b99fed8fc0]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:46 goServer dma[121e78.563d86ffc680]: trying remote delivery to alt3.gmail-smtp-in.l.google.com [142.250.150.27] pref 30
May 16 14:11:47 goServer named[528]: loop detected resolving 'av2.nstld.com/A'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av2.nstld.com/AAAA'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av1.nstld.com/A'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av1.nstld.com/AAAA'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av3.nstld.com/A'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av3.nstld.com/AAAA'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av4.nstld.com/A'
May 16 14:11:47 goServer named[528]: loop detected resolving 'av4.nstld.com/AAAA'
May 16 14:20:04 goServer dma[121e78.563d86ffc680]: trying remote delivery to gmail-smtp-in.l.google.com [66.102.1.26] pref 5
May 16 14:20:04 goServer dma[122175.55629d2f3cd0]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[1213e1.55acc5be3230]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12206c.5637147d2830]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[1212fd.563fc5c26320]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12205a.563bc6471770]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12212e.560486037880]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[121278.5575822a7c80]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[120daf.562a2de32830]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[1216a6.55a972fd89c0]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12211d.55f9d7fc6880]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12207d.5558f5d77880]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12210b.5627babed450]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[120e10.55c886c5a4b0]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[121146.5627babed450]: can not bounce a bounce message, discarding
May 16 14:20:04 goServer dma[12142d.560271cc1450]: can not bounce a bounce message, discarding

Jacekalex · 2024-05-17 08:14:46

Najpierw ustal, co to za tajemnicza aplikacja "na wewnętrznym serwerze" próbuje się łączyć z serwerami pocztowymi.

Jeżeli serwer wewnętrzny działa, to chyba jest na nim system operacyjny?
W tym systemie są różne programy (aplikacje), prawda?

Jeśli ten system to Debian, to może tam jest domyślnie demon exim, który zajmuje się pocztą wewnętrzną tego serwera?
I chyba coś lub ktoś do tego systemu pocztowego pakuje, lokalnie albo zdalnie, przez LAN, jakąś pocztę, może spam.
Którą potem ten serwer próbuje pchać w świat.

Zobacz nmapem, czy na porcie tego "lokalnego serwera" jest otwarty port 25/tcp i co tam słucha na tym porcie, a w samym serwerze badanym

Kod:

lsof -i :25

powie dokładnie, co za proces wisi na porcie 25/tcp.

Jeśli rzeczywiście tam jest EXIM4, to pewnie trzyma kolejkę wiadomości, którą można podejrzeć, i z każdej pojedyncznej wiadomości z nagłówków Received dowiedzieć się, skąd się taka wiadomość w Eximie wzięła.

Obstawiam, ze jest jakiś inny komputer w tej samej sieci LAN co problematyczny serwer, ma tenże inny komputer (pewnie z systemem Windows, backdoora, który próbuje wysyłać spam wszelkimi dostępnymi drogami, jeśli znalazł ten backdoor w sieci LAN otwarty port serwera SMTP 25/tcp, to pcha przez ten port tony spamu, także syslog ponad 2 GB to jest wtedy możliwe)

To by było na tyle

Karotek · 2024-05-17 08:46:51

Tak to jest komputer w sieci lan który robi za serwer, stoi na nim debian testing bez środowiska graficznego. Kilka komputerów łączy się go niego przez sambe.
Są na nim dodatkowo zainstalowane między innymi: apache2, php, mariadb, bind.
Serwerów pocztowych nie potrafię konfigurować więc sam nic nie instalowałem.
Do tej sieci mają dostęp komputery z debian-em, windows-em, mac-iem oraz kilka telefonów

# apt list --installed | grep exim
nie pokazuje nic

lsof pokazuje dużo

lsof -i :25
...
dma 2817725 mail 6u IPv4 277783900 0t0 TCP 192.168.2.222:50278->cache40.mydevil.net:smtp (SYN_SENT)
dma 2817726 mail 6u IPv4 277783698 0t0 TCP 192.168.2.222:50266->cache40.mydevil.net:smtp (SYN_SENT)
dma 2817810 mail 6u IPv4 277817320 0t0 TCP 192.168.2.222:34024->lg-in-f26.1e100.net:smtp (SYN_SENT)
dma 2818113 mail 6u IPv4 277817048 0t0 TCP 192.168.2.222:47876->tower.fc.pl:smtp (SYN_SENT)
dma 2830550 mail 6u IPv4 278065020 0t0 TCP 192.168.2.222:54802->ea-in-f26.1e100.net:smtp (SYN_SENT)
...

sprawdziłem jeden z procesów
# ps ax | grep 2830550

2830550 ? S 0:00 /usr/sbin/dma -q
2830848 pts/6 S+ 0:00 grep 2830550

Tylko nie bardzo mam pomysł jak sprawdzić co go uruchamia :(

Jacekalex · 2024-05-17 09:52:55

czyli rozrabia to:
https://packages.debian.org/pl/trixie/dma
Wg opisu:
"lightweight mail transport agent"

Teraz jeszcze musisz sprawdzić, skąd to dma wzięło maile do spamowania.

Zobacz kolejkę wiadomości poleceniem

Kod:

mailq

Zobacz też, czy ten dma wisi na porcie 25 w trybie demona:

Kod:

lsof  -i :25 | grep LISTEN

Ostatnio edytowany przez Jacekalex (2024-05-17 09:58:01)

Karotek · 2024-05-17 10:22:38

mailq nie pokazuje nic ciekawego

--
ID : 12124f.55ab259fe4f0
From :
To : ja@ja.loc
--

to jest mail którego czasami podaje lokalnie do testów, żeby tylko walidacje przechodziło
pojawiają się też adresy osób z którymi faktycznie mogłem pisać ale nie z tego serwera tylko z innych komputerów w tej sieci

lsof z grepem nie zwraca nic

Jacekalex · 2024-05-17 11:18:10

dma uruchamia cron, domyślnie co 5 minut.

Kod:

# root ~> cat /etc/cron.d/dma
# Flush the dma mail transfer agent's queue every five minutes.
#
*/5 *    * * *    root    [ -x /usr/sbin/dma ] && /usr/sbin/dma -q

ciekawe tylko, skąd się biorą wiadomości, które próbuje wysyłać.

zobacz, co zawiera folder

Kod:

ls -l /var/spool/dma/*

Ostatnio edytowany przez Jacekalex (2024-05-17 11:20:39)

Karotek · 2024-05-17 11:33:02

/etc/cron.d/dma wygląda identycznie więc nie będę wstawiał

ls -l /var/spool/dma/* | wc -l
mówi że tam jest 6880 plików

-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c5f.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c60.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c61.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c62.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c63.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c64.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c65.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:52 /var/spool/dma/Q123c66.55d7017eff00
-rw-rw---- 1 mail mail 68 03-06 10:57 /var/spool/dma/Q123f7a.5555f65ae2f0
-rw-rw---- 1 www-data mail 1150 03-01 10:52 /var/spool/dma/tmp_XXXXtRuVMJ

ale widzę że są tam jakieś pliki od 2018 roku...

-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120de5.55da6d3b3290
-rw-rw---- 1 www-data mail 58 2018-05-21 /var/spool/dma/Q120de1.562248989290
-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120de1.562248989290
-rw-rw---- 1 www-data mail 58 2018-05-21 /var/spool/dma/Q120dcf.565024c4a290
-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120dcf.565024c4a290
-rw-rw---- 1 www-data mail 58 2018-05-21 /var/spool/dma/Q120ed8.561550404290
-rw-rw---- 1 www-data mail 58 2018-05-21 /var/spool/dma/Q120e3a.55e9f6bb3290
-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120ed8.561550404290
-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120e3a.55e9f6bb3290
-rw-rw---- 1 www-data mail 58 2018-05-21 /var/spool/dma/Q120ed7.564cc7e52290
-rw-rw---- 1 www-data mail 942 2018-05-21 /var/spool/dma/M120ed7.564cc7e52290

te na użytkowniku mail są "puste" znaczy zawierają tylko odbiorcę i od

ten od www-data to pewnie użycia funkcji mail w php.

Myślisz że wystarczy wyczyścić ten katalog?

Jacekalex · 2024-05-17 12:01:48

Jak zawartości nie potrzebujesz, to go wyczyść.

Ja bym też do czasu wyjaśnienia problemu zahashował uruchomienie w /etc/cron.d/dma i w ten sposób uspokoił sytuację na czas wyjaśnienia.
Do za dużych logów lepiej używać logrotate, żeby je utrzymywał w rozsądniej wielkości.

ethanak · 2024-05-17 13:08:32

Wordpress na serwerze? Sprawdź czy nie wiszą jakieś procesy "cron.php" z usuniętym exe.

Karotek · 2024-05-17 14:14:49

Dobra pomogło dzięki :)

Podejżewam że to są jakieś maile które się tam dodawały do kolejki od tego 2018 roku przez jakieś testowe skrypty php. Tylko jak było tego mało to nie było problemu.

#du -hs /var/log
57M /var/log

Teraz logi są na tyle małe że chyba nie ma co nawet kombinować z więc raczej nie ma co kombinować z logrotate

ethanak napisał(-a):
Wordpress na serwerze? Sprawdź czy nie wiszą jakieś procesy "cron.php" z usuniętym exe.

Możliwe że ktoś sobie tam instalował jakiegoś WP ale to jest w sieci wewnętrznej, a do crona serwera nie było nic dodawane

Forum Debian Users Gang

Ogłoszenie

#1 2024-05-16 14:30:07

Karotek - Użytkownik

Serwer próbuje łączyć się serwerami pocztowymi

#2 2024-05-17 08:14:46

Jacekalex - Podobno człowiek...;)

Re: Serwer próbuje łączyć się serwerami pocztowymi

Kod:

#3 2024-05-17 08:46:51

Karotek - Użytkownik

Re: Serwer próbuje łączyć się serwerami pocztowymi

#4 2024-05-17 09:52:55

Jacekalex - Podobno człowiek...;)

Re: Serwer próbuje łączyć się serwerami pocztowymi

Kod:

Kod:

#5 2024-05-17 10:22:38

Karotek - Użytkownik

Re: Serwer próbuje łączyć się serwerami pocztowymi

#6 2024-05-17 11:18:10

Jacekalex - Podobno człowiek...;)

Re: Serwer próbuje łączyć się serwerami pocztowymi

Kod:

Kod:

#7 2024-05-17 11:33:02

Karotek - Użytkownik

Re: Serwer próbuje łączyć się serwerami pocztowymi

#8 2024-05-17 12:01:48

Jacekalex - Podobno człowiek...;)

Re: Serwer próbuje łączyć się serwerami pocztowymi

#9 2024-05-17 13:08:32

ethanak - Użytkownik

Re: Serwer próbuje łączyć się serwerami pocztowymi

#10 2024-05-17 14:14:49

Karotek - Użytkownik

Re: Serwer próbuje łączyć się serwerami pocztowymi

ethanak napisał(-a):

Stopka forum