Roundcube mail Anmeldung geht nicht mehr

V

vikozo

Member
guten Tag
seit heute Mittag 06.12.2016 ca 12:30 geht das Anmelden über Roundcube nicht mehr.
Am Nachmittag gab es eine Meldung das IMAP nicht erreichbar sei.
Jetzt gegen 17:20 kommt die Info
Verbindung zum Speicherserver fehlgeschlagen.

etwa Zeitgleich habe ich im Syslog
dovecot: master: Warning: service(pop3-login): process_limit (100) reached, client connections are being dropped

auch im mail.log mail.warn mail.info mail.err sind keine speziellen Infos aufgefallen, ausser der identischen Info wie im Syslog.

wenn ich ein PS -ax eingeben dann habe ich am Schluss sehr viele Einträge
32124 ? S 0:00 dovecot/imap-login
32151 ? S 0:00 dovecot/imap-login
32180 ? S 0:00 dovecot/imap-login
32205 ? S 0:00 dovecot/imap-login
32247 ? S 0:00 dovecot/imap-login
32361 ? S 0:00 dovecot/imap-login
32438 ? S 0:00 dovecot/pop3-login
32439 ? S 0:00 dovecot/imap-login
32464 ? S 0:00 dovecot/pop3-login
32465 ? S 0:00 dovecot/imap-login
32490 ? S 0:00 dovecot/pop3-login
32491 ? S 0:00 dovecot/imap-login
32516 ? S 0:00 dovecot/pop3-login
32517 ? S 0:00 dovecot/imap-login
32579 ? S 0:00 dovecot/pop3-login
32580 ? S 0:00 dovecot/imap-login
32739 ? S 0:00 dovecot/pop3-login
32740 ? S 0:00 dovecot/imap-login

Ich könnte wohl einfach den Server rebooten, aber es wäre auch Interessant zu wissen weshalb es nicht geht.
vielen Dank für Feedbacks
gruss
Vinc
 
V

vikozo

Member
Seit diesem zeitpunkt sind auch die Processe massiv gestiegen...
zusätzlich ist mir aufgefallen das eine tty1 verbindung war für 3 tage
root tty1 Fri Dec 2 16:37 - crash (3+13:38)
processes-pinpoint14809359211481043921.png
 
Zuletzt bearbeitet:
florian030

florian030

Well-Known Member
Die Antwort hast Du doch gepostet:
process_limit (100) reached, client connections are being dropped
Du brauchst nicht den ganzen Server neu zu starten, dovecot reicht völlig.
 
V

vikozo

Member
@florian030
danke für dein Feedback, soviele User habe ich gar nicht - also ist etwas böses im spiel - denk ich mal.
nach einem Reboot des Server war es wieder normal, ausser das die anzahl von Mails stieg.
 
V

vikozo

Member
@nowayback
natürlich hast du Recht, und ab 18:00 06.12.2016 nach dem Reboot begann es zu steigen
postfix_mailqueue-pinpoint14782764221481127622.png


mit mailq
habe ich eine Liste mit zum teil komischen email addressen von Menschen/Email die ich nicht kenne (ausser dem root)
186E3586346 5840 Tue Dec 6 20:07:53 Curtis.Marquis@writeruniter.com
(delivery temporarily suspended: connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
ymail@kozo.ch
15F265863D3 599 Wed Dec 7 11:07:01 root@memoryalpha.kozo.ch
(delivery temporarily suspended: connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
root@???????.kozo.ch

Normaler email versand und empfang klappt aber trotzdem
nach einem postqueue -v ist die liste leer und auch die Grafik auf 0
wie kann ich rausfinden, woher der sender kommt?
 
florian030

florian030

Well-Known Member
Dann solltest Du mal nach Malware auf Deinem Server fanden. Und vor allem mal amavis starten, wenn Du immer 0024: Connection refused im mail.log hast.
 
N

nowayback

Well-Known Member
nein, nicht amavis starten, und am besten auch noch postfix stoppen... @florian030 bitte... du wolltest ihm jetzt nicht wirklich helfen, dass die ganzen spammails rausgehen oder?

@vikozo
such wie florian gesagt hat deinen server nach malware ab. solange nimmst du das teil vom netz. wenn fertig und entfernt, dann updates einspielen. irgendwo hast du eine lücke!
 
florian030

florian030

Well-Known Member
Wo soll das Problem mit den beiden Mails von da oben sein? Ein reboot löscht nicht die mailqueu von daher ist die Grafik doch eher wenig hilfreich. Wenn ich hier amavis anhalte, habe ich ner Stunde auch locker 1000 mails in der queue.

Du kannst Dir aber die Mails mit postcat anzeigen lassen. Z.B. postcat -q 186E3586346

Ich nehme zum Scannen immer den ISPProtect Malware Scanner
 
N

nowayback

Well-Known Member
wenn ich die anderen threads und signatur von ihm lese ist das ne kiste die zuhause rumgammelt, die nie und nimmer soviele imap prozesse laufen haben dürfte. klar gibts auch andere gründe für sowas, aber in der praxis?! 99,9% malware!
 
V

vikozo

Member
@nowayback
das sie zuhause ist ja das sie rumgammelt eher nicht! Alle Updates sind drauf das neueste ispconfig, die neusten Joomla versionen.
maldet -a /
Linux Malware Detect v1.5
(C) 2002-2016, R-fx Networks <proj@rfxn.com>
(C) 2016, Ryan MacDonald <ryan@rfxn.com>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(28844): {scan} signatures loaded: 10937 (9019 MD5 / 1918 HEX / 0 USER)
maldet(28844): {scan} building file list for /, this might take awhile...
maldet(28844): {scan} setting nice scheduler priorities for all operations: cpunice 19 , ionice 6
maldet(28844): {scan} file list completed in 6s, found 175112 files...
maldet(28844): {scan} found clamav binary at /usr/bin/clamscan, using clamav scanner engine...
maldet(28844): {scan} scan of / (175112 files) in progress...
maldet(28844): {scan} processing scan results for hits: 0 hits 0 cleaned
maldet(28844): {scan} scan completed on /: files 175112, malware hits 0, cleaned hits 0, time 2125s
maldet(28844): {scan} scan report saved, to view run: maldet --report 161207-2123.28844
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
service amavis status
? amavis.service - LSB: Starts amavisd-new mailfilter
Loaded: loaded (/etc/init.d/amavis)
Active: active (exited) since Mit 2016-12-07 18:48:28 CET; 3h 24min ago
Process: 22027 ExecStop=/etc/init.d/amavis stop (code=exited, status=0/SUCCESS)
Process: 22032 ExecStart=/etc/init.d/amavis start (code=exited, status=0/SUCCESS)

Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: No decoder for .lz4
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: No decoder for .rar
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: No decoder for .rpm
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: No decoder for .swf
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: Using primary internal av scanner code for ClamAV-clamd
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: Deleting db files __db.002,__db.001,__db.003 in /var/lib/amavis/db
Dez 07 18:48:28 memoryalpha.kozo.ch amavis[22045]: Creating db in /var/lib/amavis/db/; BerkeleyDB 0.54, libdb 5.3
Dez 07 18:50:08 memoryalpha.kozo.ch amavis[22045]: (!!)TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __fop_file_setup: Retry li...ne 318.
Dez 07 18:50:08 memoryalpha.kozo.ch amavis[22045]: (!)_DIE: Suicide () TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __fop_file_...ne 318.
Hint: Some lines were ellipsized, use -l to show in full.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 
V

vikozo

Member
mit einem
nmap -sT localhost
ist mir aufgefallen das Port 10024 nicht gelistet ist
nach einem /etc/init.d/amavis restart ist por 10024 gelistet und nach einer weile nicht mehr.
mit amavis status ist diese Linie in rot
Dez 07 23:21:33 memoryalpha.kozo.ch amavis[6086]: (!!)TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __fop_file_setup: Retry limit (100) exceeded, File exists. at (eval 91) line 318.
 
V

vikozo

Member
ich denke (hoffe) das es keine Malware ist. aber ein error mit Amavis
Amavis läuft ein paar Minuten und dann
/etc/init.d/amavis Status
gibt es einen fehler und
Dez 08 09:01:49 memoryalpha.kozo.ch amavis[26032]: (!!)TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __f...318.

und auf Port 10024 ist dann kein dienst aktiv
 
V

vikozo

Member
:D @florian030
vielen Dank - das hat geholfen. Komischerweise aber nicht beim ersten mal.
jetzt hat amavis auch viele Module nachgeladen mit dem Status kann ich die sehen und die Emails gehen wieder rein und raus.
nochmals vielen Dank für die Geduld
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top