[Qmail-it] AIUTO!!! Qmail impazzito

Fri Aug 31 11:30:06 CEST 2007

Enrico Morelli ha scritto:
> On Fri, 31 Aug 2007 09:15:08 +0100
> Marco Minato <marco a fuertux.com> wrote:
>
>   
>> Enrico Morelli ha scritto:
>>     
>>> On Thu, 30 Aug 2007 19:29:13 +0200
>>> Enrico Valsecchi <admin a hostyle.it> wrote:
>>>
>>>   
>>>       
>>>> Il Thursday 30 August 2007 17:46:47 Enrico Morelli ha scritto:
>>>>     
>>>>         
>>>>> On Thu, 30 Aug 2007 16:35:46 +0200
>>>>>
>>>>> Luca Memini <luca a cuore.org> wrote:
>>>>>       
>>>>>           
>>>>>> Alle 16:27, giovedì 30 agosto 2007, Enrico Morelli ha scritto:
>>>>>>         
>>>>>>             
>>>>>>> Salve a tutti,
>>>>>>>           
>>>>>>>               
>>>>>> [...]
>>>>>>
>>>>>> prova ad attaccarti con strace / ltrace al processo padre con il
>>>>>> -f, vedi di capire su che cosa si impasta il processo
>>>>>>
>>>>>> l.
>>>>>>         
>>>>>>             
>>>>> Ho provato ma francamente non capisco niente dell'output :-((.
>>>>> Ma mi pare una qualche specie di attacco, visto che gli indirizzi
>>>>> IP dei processi che sono in standby sono gli stessi. Di volta in
>>>>> volta li metto in hosts.deny e li faccio bloccare dal firewall, ma
>>>>> cambiano. Non so veramente cosa fare.
>>>>>       
>>>>>           
>>>> Scusa la probabile idiozia....
>>>> Non e' che uno o piu indirizzi dell'RBL non funzionano piu'????
>>>>     
>>>>         
>>> Non credo, uso solo  relays.ordb.org e le mail comunque entrano. Non
>>> tutti i processi qmail-smtpd e rblsmtpd rimangono attivi. Vari ps
>>> mostrano che nascono processi smtpd e compagnia e poi muoiono. Solo
>>> alcuni rimangono attivi e crescono fino a saturazione. Controllando
>>> gli IP di quelli che rimangono in stallo, ho notato che molti
>>> appartengono allo stesso IP. Metto l'IP in hosts.deny, faccio
>>> ripartire il tutto e dopo un po' sono da capo.
>>>
>>>   
>>>       
>> Ciao,
>> se pensi che sia mail bombing perché non provi a usare uno sniffer
>> per vedere ció che succede a livello di connessioni?
>> Se cosí fosse puoi usare iptables in modo da non ricevere piú di N 
>> connessioni
>> da uno stesso ip in una frazione di tempo.
>> Questo solo per darti respiro.. e risolvere il tuo problema con calma.
>> Qui parla del match "recent" di iptables.
>>
>> http://e18.physik.tu-muenchen.de/~tnagel/ipt_recent/
>>
>>     
>
> Grazie, ci darò un'occhiata. Ma quello che non capisco è perché
> rimangono attivi i vari qmail-smtpd. E' come se qualcuno facesse un
> telnet sulla 25 e lasciasse la connessione attiva senza fare niente.
>   
Immagino che usare uno sniffer (es. wireshark) ti possa dare diverse 
spiegazioni.
Potresti per esempio vedere se é vero che un qualche ip sta aprendo
connessioni verso il tuo server lasciandole poi pendenti.. senza comandi.
Ti ricordo che essendo tutto in chiaro hai la possibilitá di vedere i 
comandi
immessi nella sessione. É sufficiente cliccare sulla comunicazione 
iniziale e selezionare
"follow tcp stream" di wireshark per avere un quadro di quello che sta 
succedendo.
In questo caso sono OT peró é esattamente la prassi che seguirei prima 
di mettere mano
a Qmail.

un saluto.