Infizierter Server & Abuse Nachricht

#1
Guten morgen,

ich bin gerade völlig am rotieren, da ich gerade von meinem Provider Netcup eine Abuse Meldung erhalten habe.
Aber... ruhig bleiben.

Meine Config ist Debian Wheezy mit ISPConfig nach dem Perfekt Server Tutorial. Dazu habe ich Ossec und die CSF-Firewall laufen.

Ich erhalte seit letzten Donnerstag viele Meldungen wie:
Code:
Jun 12 10:06:59 MEINHOST postfix/smtpd[19133]: warning: unknown[31.47.84.23]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Nach 6 solcher Meldungen wird die IP von CSF gesperrt.

Die Meldungen reißen aber seitdem nicht ab. Ich erhalte ca. 100 Mails am Tag über diese Sperren.

Daraufhin meldet das System oft einen verdächtigen Prozess:
Code:
lfd on MEINSERVER: Suspicious process running under user postfix
Time:    Fri Jun  6 13:05:33 2014 +0200
PID:     31338 (Parent PID:4211)
Account: postfix
Uptime:  80 seconds  

Executable:
/usr/lib/postfix/error  
Command Line (often faked in exploits):
error -n retry -t unix -u -c
mit folgendem Log:
Code:
Jun  8 14:05:58 MEINHOST named[2784]: socket.c:5274: unexpected error:
Den Error Prozess habe ich im CSF dann lediglich auf die Ignore Liste gesetzt.

Heute dann die Abuse Mail: (Auszug)
Code:
X-HmXmrOriginalRecipient: leiffers@hotmail.com
X-Reporter-IP: 84.131.18.152
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 5.45.105.158) smtp.mailfrom=Vodafone@wMEINHOST.MEINEDOMAIN.de; dkim=none header.d=EINKUNDE.de;
x-hmca=none header.id=assistenz@EINKUNDE.de
X-SID-PRA: assistenz@EINKUNDE.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD00
X-Message-Info:
11chDOWqoTk4sVVujvN0yvEE5LdEp/0mkW3R5+Zq3UmUCEglB/UQvOGx97hwMI1wLanT3paXGXSPuEeiYybw5jbTZ
1ka8ou2cfAOra2sBkTeRltpZh6dCyX5dPi98H2r7S2jy63O7V0/se4puZk0/s3V1OydfdYbw3ceBnwfT3aeyA3gAn
rHOAE6Wiu11Khv13j7DeLxYkX3sv5aS8juqxoJVKdoW5vC
Received: from MEINHOST.MEINEDOMAIN.de ([5.45.105.158]) by BAY004-MC5F25.hotmail.com over TLS secured
channel with Microsoft SMTPSVC(7.5.7601.22678);
     Tue, 10 Jun 2014 03:22:38 -0700
Received: from localhost (localhost [127.0.0.1])
    by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTP id 09F43100ECC
    for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:37 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at MEINHOST.MEINEDOMAIN.de
Received: from MEINHOST.MEINEDOMAIN.de ([127.0.0.1])
    by localhost (MEINHOST.MEINEDOMAIN.de [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id DDTGXQdsYJVk for <leiffers@hotmail.com>;
    Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Received: from andm02 (mail.mikro-polo.si [90.157.147.26])
    (Authenticated sender: assistenz@EINKUNDE.de)
    by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTPA id 8C37B100ECA
    for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Date: Tue, 10 Jun 2014 12:22:26 +0200
From: Vodafone
<assistenz@EINKUNDE.de>
To: leiffers@hotmail.com
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer www.blat.net
Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Subject: Rechnung Mai 2014, #G55388-480F3
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
 charset=\"ISO-8859-1\"
Return-Path: Vodafone@MEINHOST.MEINEDOMAIN.de
X-OriginalArrivalTime: 10 Jun 2014 10:22:38.0827 (UTC) FILETIME=[E7A35BB0:01CF8495]
Was ist auffällt ist der X-MAILER (Win32) was wie ich hoffe auf ein befallenes Windows beim Kunden hinweist?

Hier ein Auszug des entsprechenden Logs:
Code:
Jun 10 12:22:34 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: 8C37B100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:36 MEINHOST postfix/cleanup[31959]: 8C37B100ECA: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:36 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6386, nrcpt=1 (queue active)
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[31299]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: 09F43100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/cleanup[32034]: 09F43100ECC: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 09F43100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6849, nrcpt=1 (queue active)
Jun 10 12:22:37 MEINHOST amavis[487]: (00487-10) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1930 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <leiffers@hotmail.com>, Queue-ID: 8C37B100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>, mail_id: DDTGXQdsYJVk, Hits: -2.176, size: 6376, queued_as: 09F43100ECC, 436 ms
Jun 10 12:22:37 MEINHOST postfix/smtp[31960]: 8C37B100ECA: to=<leiffers@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.56, delays=0.12/0/0.01/0.44, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 09F43100ECC)
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: 47D07100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:39 MEINHOST postfix/cleanup[31959]: 47D07100ECA: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6404, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST postfix/smtp[31262]: 09F43100ECC: to=<leiffers@hotmail.com>, relay=mx1.hotmail.com[207.46.8.167]:25, delay=2.3, delays=0.04/0/1.3/0.93, dsn=2.0.0, status=sent (250  <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de> Queued mail for delivery)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 09F43100ECC: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: B3D92100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/cleanup[32034]: B3D92100ECC: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: B3D92100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6885, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST amavis[32691]: (32691-16) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1932 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <anke.scherb@landvolk-celle.de>, Queue-ID: 47D07100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>, mail_id: Tcv0eoSLI0cA, Hits: -2.176, size: 6394, queued_as: B3D92100ECC, 429 ms
Jun 10 12:22:39 MEINHOST postfix/smtp[32112]: 47D07100ECA: to=<anke.scherb@landvolk-celle.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.52, delays=0.09/0/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B3D92100ECC)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: removed
Jun 10 12:22:40 MEINHOST postfix/smtp[30393]: B3D92100ECC: to=<anke.scherb@landvolk-celle.de>, relay=mx01.kundenserver.de[212.227.15.150]:25, delay=0.41, delays=0.03/0/0.17/0.2, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MJpRs-1WtCjj42TM-0019i2)
Jun 10 12:22:40 MEINHOST postfix/qmgr[4389]: B3D92100ECC: removed
Was auch sehr komisch ist ist der Graph für Postfix, welcher seit genau dem Zeitpunkt enorm nach oben ging. (siehe Anhang)

Es sind definitiv mehrere Mails von dem Account verschickt worden.

Was würdet Ihr machen? Dem Kunden die Adressen zudrehen aus ISPConfig? Oder den ganzen Account?
Noch wichtiger, was kann ich am bzw. mit dem Server machen.
Erstens ob ich wirklich soweit raus bin und zweitens wie ich zukünftig sowas früher bemerken kann?

Ich wäre euch megafroh über eure Meinungen.

LG
 

Anhänge

Till

Administrator
#2
das ist ein infizierter Kundenrechner. Kommt zur zeit sehr häufig vor, dss ist der Trojaner der derzeit über die fake Telekom, Vodafone, etc. Rechnungen versendet wird. Den erkennst Du recht eibfach an den mail Hedern:

(Authenticated sender: assistenz@EINKUNDE.de)

Plus from Adresse die nicht passt, meist Vodafone q... Telekom@... etc. Am Besten das Passwort des Accounts ändern und den Kunde auffordern seinen Rechner mit einer antivirus software zu scannen.

Vorbeugend kannst Du da wenig gegen machen, denn das einzig sichere wäre wenn Deine Kunden keine Mails mehr versenden dürfen und dass ist ja nicht Sinn eines Mailservers.

Kontrolliere regelmäßig Deine Mailqueue. wenn dei Anzahl in der queue steigt, dann gibt es meist Handlungsbedarf. Die header von Mails in der queu kannst Du mit postcat ansehen.
 
#3
Das ist auch meine Vermutung. Schön wenn sie noch jemand teilt.

Mit Netcup ist bereits telefoniert, die angekündigte Serversperre wurde bis auf weiteres aufgehoben.

SUPER NETTER SUPPORT, welcher auch schon meine Vermutung bestätigt hat.

Wenn ich am Server noch was machen kann bin ich absolut um jeden Rat dankbar.

PS. Ich habe im ISPConfig die Domains der Kundenemails gesperrt. Im Munin geht die Last aber nicht herunter?
Ich hatte Postfix auch für ca. 1 Minute gestoppt, das zeigt er gar nicht an????? Siehe Anhang

Okay hab mit "postsuper -d ALL" mal die komplette Queue gelöscht.
 

Anhänge

Zuletzt bearbeitet:

Till

Administrator
#4
Ich würde die Passworte der Konten ändern, denn sperren der Kundendomain verhindert nur dem Empfang von Emails aber nicht das Senden. Wenn die last nicht runter geht nachdem Du das passwort des Postfaches geändert hast, dann starte mal postxic, dovecot, courier-authdaemon und saslauthd neu (je nachdem was installiert ist). Es kann sein dass die Mails so schnell versendet werden dass Postfix / sasl das Passwort cached ohne es erneut aus der DB zu laden.
 
#5
Okay. Hab alles geändert und den ganzen Server neu gestartet.

Beobachten.

Der Kunde bekommt jedenfalls erst wieder sein Passwort wenn seine Systeme sauber sind.

Ich ich bin nun nicht auf einer Spamliste gelandet. Geht ja doch schon seit paar Tagen.

DANKE FÜR DIE SCHNELLE HILFE!
Das zeigt dass ich mich für das richtige System mit der richtigen Community Anfang 2014 entschieden hab.
 

nowayback

Well-Known Member
#6
Hi,

Der Kunde bekommt jedenfalls erst wieder sein Passwort wenn seine Systeme sauber sind.

Vorsicht... der Kunde hat das Recht an seinen Daten - und E-Mails gehören dazu! AGB's können dich hier passend unterstützen. (aber dies soll keine Rechtsberatung werden und sein ;-))


Ich ich bin nun nicht auf einer Spamliste gelandet. Geht ja doch schon seit paar Tagen.
Glück gehabt das du die falschen Empfänger hattest, denn sonst wärst du bereits nach wenigen Stunden überall aufgetaucht.

DANKE FÜR DIE SCHNELLE HILFE!
Das zeigt dass ich mich für das richtige System mit der richtigen Community Anfang 2014 entschieden hab.
Ja Till und Co. leisten gute Arbeit... Wenn du suchst, findest du Möglichkeiten ISPConfig zu unterstützen ;-)

Grüße
nwb
 
#7
Ja ich denke meine AGBs sind da ganz gut aufgestellt. Wenn auch der Kunden natürlich alles abstreiten würde, denn was kann er dafür? ;-)

Was meinst du mit "falsche Empfänger".
Diejenigen die in den Queue gelistet waren?

Der Server ist zum Glück nirgendwo der Blacklist.

Ja ISPConfig sollte definitiv unterstützt werden. Absolut erstklassige Anwendung und der Support ist MEGA! Ein großes Lob.

Hab deshalb auch die Android App gekauft, auch wenn ich mir hier durchaus noch ein paar Dinge wünschen würde, mindestens, dass ich bei Ausfall auch benachrichtigt werde.
 

nowayback

Well-Known Member
#8
Ja ich denke meine AGBs sind da ganz gut aufgestellt. Wenn auch der Kunden natürlich alles abstreiten würde, denn was kann er dafür? ;-)

Was meinst du mit "falsche Empfänger".
Diejenigen die in den Queue gelistet waren?

Der Server ist zum Glück nirgendwo der Blacklist.

Ja ISPConfig sollte definitiv unterstützt werden. Absolut erstklassige Anwendung und der Support ist MEGA! Ein großes Lob.

Hab deshalb auch die Android App gekauft, auch wenn ich mir hier durchaus noch ein paar Dinge wünschen würde, mindestens, dass ich bei Ausfall auch benachrichtigt werde.
Hi,

ja mit falscher Empfänger meinte ich die, die deine Mails erhalten haben. Mehr als 24h Spams verschicken und auf keiner einzigen Blacklist zu landen ist schon fast wie eine aufforderung zum lotto spielen :D

Zur App: Den gleichen Vorschlag hatte ich auch schon, siehe: http://www.howtoforge.de/forum/40496-post1.html

Grüße
nwb
 
#9
Hallo,

so ich habe über die letzten Tage meinen Server genau beobachtet, sogar einen Fail2Ban Regex gebastelt, welcher derartige Sachen Bannen sollte.

Heute ging auch der besagte Kundenrechner wieder online und bisher keine verdächtigen Meldungen. Auch die Logs zeigen nichts ungewöhnliches, bis auf ein paar wenige Einträge:

Code:
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: connect from webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: E27961007EA: client=webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:46 MEINHOST postfix/cleanup[29383]: E27961007EA: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
Jun 16 18:15:46 MEINHOST postfix/qmgr[4337]: E27961007EA: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2005, nrcpt=1 (queue active)
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: disconnect from webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: connect from localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: 0BFBB100978: client=localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/cleanup[29383]: 0BFBB100978: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: disconnect from localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2460, nrcpt=1 (queue active)
Jun 16 18:15:48 MEINHOST amavis[20397]: (20397-17) Passed CLEAN {RelayedInbound}, [195.137.212.226]:1630 [84.18.143.213] <Telekom@MEINHOST.MEINEDOMAIN.de> -> <NAME@EINKUNDE.de>, Queue-ID: E27961007EA, Message-ID: <01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>, mail_id: IxavmBsQkncS, Hits: -0.977, size: 2005, queued_as: 0BFBB100978, 1092 ms
Jun 16 18:15:48 MEINHOST postfix/smtp[29385]: E27961007EA: to=<NAME@EINKUNDE.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=0.09/0/0/1.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0BFBB100978)
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: E27961007EA: removed
Jun 16 18:15:48 MEINHOST dovecot: auth-worker(30114): mysql(localhost): Connected to database dbispconfig
Jun 16 18:15:48 MEINHOST dovecot: lda(NAME@EINKUNDE.de): sieve: msgid=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>: stored mail into mailbox 'INBOX'
Jun 16 18:15:48 MEINHOST postfix/pipe[30112]: 0BFBB100978: to=<NAME@EINKUNDE.de>, relay=dovecot, delay=0.28, delays=0.02/0.01/0/0.25, dsn=2.0.0, status=sent (delivered via dovecot service)
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: removed
Hier ist auch nochmal eine $Blat.v3.1.1 Nachricht, welchen von einer Telekom@MEINHOST.MEINEDOMAIN.de gesendet wurde. Genau wie vorher.
Der Unterschied, hier hat sich zuvor nicht direkt ein Account angemeldet, dem der Versand zuzuschreiben wäre?
Auch ging die Nachricht nicht an eine unbekannte Adresse, sondern eine Adresse welche auf dem Server existiert.

Von diesen Nachrichten habe ich ca. 2-4 seit Freitag bis heute.

Was haltet ihr davon?
 
#10
schau dir doch mal die Mail mit der ID E27961007EA und 0BFBB100978 an.

In den Mail-Header kannst du erkennen, bei sasl_auth, wenn dieser TAG im Header ist, wer die Mail eingeliefert hat.
 
#11
Vermutlich ne dumme Frage, aber:

Code:
find -name "E27961007EA"
sollte doch Dateien mit dem Suchbegriff finden oder?
Ein:

Code:
grep -rl 'E27961007EA'
dauert vermutlich ewig da er ja jede Zeile jeder Datei durchforstet?
 
#12
Code:
postcat /var/spool/postfix/deferred/E/E27961007EA
postcat /var/spool/postfix/deferred/0/0BFBB100978
Und dann nach
Code:
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=XXX
schauen, dann weißt du genau wer die Mail eingeliefert hat.
 
Zuletzt bearbeitet:
#13
Okay da ist heute schon nichts mehr da.

Aber das ist doch das Selbe wie es in ISPConfig über:
Überwachung -> Email Warteschlange anzeigen
sein sollte?
Und hier steht nämlich bereits der Absender?

Also wohl einfach das nächste mal abwarten.
 

Till

Administrator
#14
Aber das ist doch das Selbe wie es in ISPConfig über:
Überwachung -> Email Warteschlange anzeigen
sein sollte?
Jein. Mit Postcat siehst Du den kompletten mail header und Inhalt, in der Warteschlange siehst Du nur die from und to adresse. Die können aber gefälscht sein. Mit postcat siehst Du unter anderem wer der echte absender (authenticated sender) ist der sich an postfix angemeldet hat bzw. den namen des php scriptes, über den die email verwendet wurde.
 
#15
Morgen,

Till schreibt in seiner ersten Antwort:
Kontrolliere regelmäßig Deine Mailqueue. wenn dei Anzahl in der queue steigt, dann gibt es meist Handlungsbedarf. Die header von Mails in der queu kannst Du mit postcat ansehen.
Daraufhin habe ich mein Munin etwas angepasst:
Code:
mcedit /etc/munin/munin.conf

contacts me
contact.me.command mail -s „Munin notification“ MEINE_EMAIL
contact.me.always_send warning critical

...

[MEIN_SERVER]
  address 127.0.0.1
  use_node_name yes
  postfix_mailqueue.deferred.warning 5
  postfix_mailqueue.deferred.critical 10

service apache2 restart
service munin-node restart
Um das Ganze mal zu testen habe ich die Warning auf 1 gestellt und sollte demnächst eine Meldung erhalten.

Was denkt ihr? Sinnvoll?
 

Werbung

Top