URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93535
[ Назад ]
Исходное сообщение
"postfix забит канал"
Отправлено awk_noob , 04-Июл-12 13:26 
Доброе время. Есть фря, на ней постфикс. сегодня творится что-то ужасное. iftop показывает, что регулярно канал забивается до максимума. и когда канал забивается до максимума iftop показывает, что сервак стучится на почтовые сервера со страшной силой. может нас протроянили и мы шлем спам со страшной силой? не подскажете, как посмотреть?
>[root@bc ~/maillog]# uname -r
>6.2-RELEASE-p8
>[root@bc ~/maillog]# pkg_info | grep postfix
>postfix-2.4.6,1     A secure alternative to widely-used Sendmail
Содержание
Сообщения в этом обсуждении
"postfix забит канал"
Отправлено vlb267 , 04-Июл-12 14:00 
>
> силой? не подскажете, как посмотреть?
>>[root@bc ~/maillog]# uname -r
>>6.2-RELEASE-p8
>>[root@bc ~/maillog]# pkg_info | grep postfix
>>postfix-2.4.6,1     A secure alternative to widely-used Sendmail

В /var/log/maillog

"postfix забит канал"
Отправлено Дядя_Федор , 04-Июл-12 15:10 
>>[root@bc ~/maillog]# pkg_info | grep postfix
>>postfix-2.4.6,1     A secure alternative to widely-used Sendmail

Смело.
equery list postfix
* Searching for postfix ...
[IP-] [  ] mail-mta/postfix-2.8.9:0

"postfix забит канал"
Отправлено awk_noob , 04-Июл-12 16:04 
да, майллог - самое логичное, куда можно посмотреть. туплю(
pflogsumm не показал никакого криминала, кол-во отброшенных/отправленных/принятых писем не превышает обычную дневную норму. буду смотреть пристальней.

Посмотреть очередь - опять же здравая мысль, жаль она не пришла мне в период утренних проблем( Постфактум очередь была пуста, но хоть буду знать, куда смотреть в случае чего.

Если есть еще предложения - приму с радостью. Всем спасибо.


"postfix забит канал"
Отправлено Дядя_Федор , 04-Июл-12 16:29 
1. mailq в довесок.
2. Вы так и не поняли, что я Вам попытался сказать выше, приведя вывод equery из Gentoo? :)

"postfix забит канал"
Отправлено awk_noob , 04-Июл-12 16:42 
> 1. mailq в довесок.

спасибо
> 2. Вы так и не поняли, что я Вам попытался сказать выше,
> приведя вывод equery из Gentoo? :)

у меня древняя версия, для которой есть готовый эксплоид? Неприятно, конечно

"postfix забит канал"
Отправлено Дядя_Федор , 04-Июл-12 20:16 
> у меня древняя версия, для которой есть готовый эксплоид? Неприятно, конечно

Я не уверен - есть ли эксплоит. Просто не интересовался. Но версия уж больно древняя. :) Впрочем, надо или нет обновлять - вам виднее, конечно. Но, боюсь, если Вам что-то начнут советовать в части изменения конфигурационных параметров - они могут просто не работать у Вас.


"postfix забит канал"
Отправлено ALex_hha , 04-Июл-12 23:41 
>  Я не уверен - есть ли эксплоит. Просто не интересовался. Но
> версия уж больно древняя. :) Впрочем, надо или нет обновлять -
> вам виднее, конечно. Но, боюсь, если Вам что-то начнут советовать в
> части изменения конфигурационных параметров - они могут просто не работать у
> Вас.

# rpm -qa | grep postfix
postfix-2.3.3-2.3.el5_6

# cat /etc/redhat-release
CentOS release 5.8 (Final)

никаких проблем нет ;)

"postfix забит канал"
Отправлено LSTemp , 05-Июл-12 03:58 
> да, майллог - самое логичное, куда можно посмотреть. туплю(
> pflogsumm не показал никакого криминала, кол-во отброшенных/отправленных/принятых писем
> не превышает обычную дневную норму. буду смотреть пристальней.
> Посмотреть очередь - опять же здравая мысль, жаль она не пришла мне
> в период утренних проблем( Постфактум очередь была пуста, но хоть буду
> знать, куда смотреть в случае чего.
> Если есть еще предложения - приму с радостью. Всем спасибо.

конечно есть (в добавок к вышесказанному):
- в сетевой фильтр включаем правила, чтоб необходимый трафик логировался
- netstat (можно до/после/во_время логов употреблять)
- PS на предмет запущенного кол-ва легитивных mail-процессов
- lsof
- nmap сервера снаружи и nmap подозрительных хостов в локалке с сервера