Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Niepokojoce logi z exima
http://forum.freesco.pl/viewtopic.php?f=22&t=10288		 Strona 1 z 3
Autor:  jahu [ środa, 14 grudnia 2005, 23:29 ]
Tytuł:  Niepokojoce logi z exima
Z przyzwyczajenia co jakis czas zagladam do logow, a dzis probowalem cos wyslac za posrednictwem konta pocztowego na nnd i odmowilem wiec zagladnalem specjalnie - patrze a tu log za ostatni dzien zajmuje 15MB a wpisy takie jak ponizszy w mainlog:
2005-12-14 00:03:11 1Em3eR-0002t4-E2 == sales@addvisual.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

rejectlog - pelno lini typu:
panpyxicod@2042.d2g.com> rejected RCPT <e523086@pchome.com.tw>: authentication PLAIN or LOGIN

Poradzcie cos - bo zwlowieszczo mi to wyglada :( Da sie cos z tym zrobic?
Autor:  Maciek [ środa, 14 grudnia 2005, 23:32 ]
Tytuł: 
Pierwszy wpis oznacza, że nie można z czymś tam się połączyć, a drugi, że ktoś chciał skorzystać z twojego smtp, ale mu się nie udało.
Autor:  jahu [ środa, 14 grudnia 2005, 23:49 ]
Tytuł: 
Dzieki za szybka reakcje - z tego co narazie wyczytalem to przypuszczam ze to atak na exim'a tzw Dictionary attack tylko mam pytanie co na to poradzic - logi gigantycznei nie moge nic wyslac korzystajac z serwera bo wypisuje blad "451 Temporary local problem" - nie da sie jakos tego zablokwac? Tak gdybam - dostep do exima w zakresie smtp tylko z puli adresow przewidzianych dla sieci lokalnej? Cokolwiek
Autor:  Maciek [ środa, 14 grudnia 2005, 23:58 ]
Tytuł: 
Sprawdź co masz w logach i co jest w /var/spool/exim/msglog - tam mogą być jakieś informacje o tych nieudanych połączeniach, co i dlaczego... potem wyczyść input i msglog i uruchom exima od nowa. Sprawdź czy jakiś lokalny komputer nie wysyła masy śmieci. Oczywiście można ograniczyć dostęp do exima ale prób logowania to i tak nie powstrzyma (musiałbyś port 25 zamknąć).
Autor:  jahu [ czwartek, 15 grudnia 2005, 00:07 ]
Tytuł: 
Leci to z zewnatrz nic w wewnetrznego kompa sprawdzilem specjalnei polaczenia sniferem po lokalu - 61-230-66-83.dynamic.hinet.net - to np napewno nie z mojego lokala. W 3 dni mialem z kilka tysciecy plikow w tym katalogu.

Martwi mnie to troche bo nawet jak sie teraz nei dostaje to mi strasznie zasmieca dysk - po 2 tygodniach zapcha mi wszystko samymi logami.
Mona jakies szczegolowe rady jak np ip zbanowac albo jakie inne rozwiazanie - bo teraz to tragicznie wyglada

Zrestartowalem ale dalej nic nie moge wyslac :(

A i w paniclog:
2005-12-14 22:58:45 1Emee4-0007DX-KJ malware acl condition: clamd: unable to connect to UNIX socket
/var/lib/clamav/clamd.sock (Connection refused)
Autor:  makog [ czwartek, 15 grudnia 2005, 00:21 ]
Tytuł: 
No to jest blad clamav, jest on odpalony? a moze nie masz go wogole zainstalowanego?
Autor:  jahu [ czwartek, 15 grudnia 2005, 00:31 ]
Tytuł: 
lamerska odpowiedz bedzie ale co tam nie znam sie na tym - wydaje mi sie ze clamav nie byl uruchomiony - ale czemu wylaczony nie wiem -bo jakies puste logi w katalogu u niego sa a sam nic nie wylaczalem a dzialalo do przedwczoraj na bank. Na wszelki wypadek zrobilem restart. A w logach clamav pisze mi teraz:
freshclam daemon 0.86.2 (OS: linux-gnu, ARCH: i386, CPU: i586)
ClamAV update process started at Wed Dec 14 23:19:43 2005
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.86.2 Recommended version: 0.87.1
DON'T PANIC! Read http://www.clamav.net/faq.html
main.cvd is up to date (version: 34, sigs: 39625, f-level: 5, builder: tkojm)
daily.cvd updated (version: 1209, sigs: 1819, f-level: 6, builder: tomek)
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Current functionality level = 5, recommended = 6
DON'T PANIC! Read http://www.clamav.net/faq.html
Database updated (41444 signatures) from database.clamav.net (IP: 212.14.28.36)
Autor:  Anonymous [ czwartek, 15 grudnia 2005, 01:53 ]
Tytuł: 
Te pliki to pewnie emaile, które zostały wrzucone do kolejki bo filtr zawiódł. Uruchom ClamAV i zobacz gdzie jest plik clamd.sock, upewnij się, że te same wartości masz ustawione w konfigach serwera poczty co w /etc/clamd.conf (grepuj po sock) - nie powiem ci dokładnie jak jest w Eximie ponieważ nie używam go; to straszne G, ale w /etc/clamd.conf to będzie linia:
LocalSocket /var/run/clamav/clamd.sock

Miej na uwadze, że LocalSocket jest w ClamAV domyślnie wyłączony.

Pozdrawiam.
Autor:  jahu [ czwartek, 15 grudnia 2005, 12:35 ]
Tytuł: 
Platyna - dziki za odpowiedz tylko ja z tego nei wszystko kumam:


mam plik /var/lib/clamav/clamd.sock - ma objetosc 0 bajtow i dziwnie wyglada w mc bo podsiwetlony na czarno a przod znak rownosci - co to jest?
=clamd.sock

Wasmych configach nic nie grzebalem i mam:
# Default: disabled
LocalSocket /var/lib/clamav/clamd.sock

czyli czym kolwek to jest mam to wlaczone
A w conf exima mam wklepane:
av_scanner = clamd:/var/lib/clamav/clamd.sock
wiec chyba powinno grac

No i co zrobic z akutalizacja bo przys tarcie wyswietla:
LibClamAV Warning: ********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/faq.html ***
LibClamAV Warning: ********************************************************
Czy to jedyny powod ze mam takie numery?
Autor:  Anonymous [ czwartek, 15 grudnia 2005, 13:18 ]
Tytuł: 
To jest właśnie tzw. gniazdo uniksowe - man socket. Kto to widział aby sockety trzymać w /var/lib? :( Wklej mi konfigi Exima i ClamAV.

Pozdrawiam.
Autor:  jahu [ czwartek, 15 grudnia 2005, 13:43 ]
Tytuł: 
Tylko please nie butujcie i nie irytujcie ze byki:
http://hutnet.no-ip.org/inne/clamd.conf
http://hutnet.no-ip.org/inne/exim.conf
Autor:  Maciek [ czwartek, 15 grudnia 2005, 20:47 ]
Tytuł: 
: [/] [] ()
domainlist relay_to_domains = *.pl : *.com : *.org : *.net : *.info : *.st
GeSHi © Codebox Plus

O Boże....
: [/] [] ()
domainlist local_domains = @:bxh202.internetdsl.tpnet.pl
GeSHi © Codebox Plus

Domeny hutnet nie dopisałeś, czy to ma tylko na tym adresie dsl chodzić?
Co do clamava to trzeba zrobić update - jest już paczka z wersją 0.8.7 i komunikatu przy starcie nie będzie. Program po prostu informuje cię, że masz wersję outdated, czyli przestarzałą...
Autor:  jahu [ czwartek, 15 grudnia 2005, 22:03 ]
Tytuł: 
no nie wiedzialem i nie wiem dalej co tam wlepic bo nie wiem o co w tym chodzi :(
Autor:  Maciek [ czwartek, 15 grudnia 2005, 22:54 ]
Tytuł: 
Czytałeś opisy z nnd.freesco.pl? Po cholerę zmieniałeś coś, co zmienione być nie musiało?
Autor:  jahu [ czwartek, 15 grudnia 2005, 23:23 ]
Tytuł: 
No czytalem czytalem i za wiele najwidoczniej nei wyczytalem jezeli ciagle tego nierozumiem:
hostlist relay_from_hosts = 127.0.0.1 : 10.10.10.0/24 - tu sie okresla z jakich ip serwer dopusci do wysylki - czyli z adresow mej sieci (10.10.10.x) mozna wysylac

domainlist local_domains = @ - okresla ze serwer bedzie pyrzjmowal poczte kierowana na hostname serwera jak wpisze bxh202.internetdsl.tpnet.pl myslelam ze bedzie przyjmowal wszsytkie te ktore maja takiego adresata.
Domeny hutnet nie dopiswalem bo mi to nie potrzebne.
A z tym domainlist relay_to_domains to naprawde nie wiem o co lazi - chodzi o jakies MX
Autor:  Anonymous [ czwartek, 15 grudnia 2005, 23:29 ]
Tytuł: 
Rozwiązanie wszystkich problemów z Eximem. :twisted:

Pozdrawiam.
Autor:  jahu [ piątek, 16 grudnia 2005, 14:40 ]
Tytuł: 
Dzieki platyna ale sie kompletnie nie czuje na silach instalowac to - mam pytanie - czy mozna skonfigurowac tak exima aby przyjmowal tylko to co przychodzi na: bxh202.internetdsl.tpnet.pl i jak to powino wygladac w configu

I jecze jedno glupie pytanie - baza do clamv sie autametem updatje dzieki freshclam - i o sama aktualizacje bazy sie nie musze martwic - chodzilo o aktualizacje samego "programu" czyli wystarczy pacman -S clamav?
Autor:  Maciek [ piątek, 16 grudnia 2005, 16:50 ]
Tytuł: 
Twoja rada Platyna jest delikatnie mówiąc nie na miejscu. Nawala mi mój samochod marki XXX - kup sobie samochód marki YYY. Bez sensu.
W NND jest exim i to jego tu powinna dotyczyć porada. A poza tym sorry,ale daleki jestem od zrozumienia twoich zachwytów nad sendmailem....
Autor:  Anonymous [ piątek, 16 grudnia 2005, 17:10 ]
Tytuł: 
Sendmail jest za friko, więc nie trzeba nic kupować. Zaś ja nie rozumiem Twojego zachwytu nad Eximem, który jest koszmarny w konfiguracji, niestabilny, jego konfig jest krótko mówiąc dziwny, a zrobienie w nim autoryzacji czy dodatkowych wirtualek to kosmos, podczas gdy w sendmailu wystarczy poprostu do jednego pliku wpisać nazwę hosta, zaś sendmailowy /etc/mail/access jest tak prosty i przejrzysty, że każdy nowicjusz łatwo go pojmie, np.:

: [/] [] ()
platinum:/root# cat /etc/mail/local-host-names
platinum.linux.pl
fizyka.kwant.info
GeSHi © Codebox Plus

: [/] [] ()
platinum:/root# cat /etc/mail/access
127.0.0.1       RELAY
213.199.207.79  RELAY
GeSHi © Codebox Plus


No to już jest tak skomplikowane, że kosmos! :twisted:

Pozdrawiam.
Autor:  jahu [ piątek, 16 grudnia 2005, 17:46 ]
Tytuł: 
Debata nad wyzszoscia bardzo ciekawa tylko nic nie wnosi do rozwiazania problemu :(
Strona 1 z 3 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/