[FreeBSD-4.6] Amavisd strooit met zombie perl processen - Linux en overige clients

maandag 4 april 2005 15:04

Acties:

Ja doe maar. 1 klontje suiker.

Topicstarter

Hoi,

Op een FreeBSD-4.6 server waar ik beheer van overgenomen heb van iemand anders, komen echt ladingen perl zombies tevoorschijn...
Na veel bugtracken ben ik er eindelijk uit waar ze vandaan komen en de boosdoener is dus amavisd.

Alleen stond dit dus allemaal al voorgeinstalleerd en ik weet verder vrij weinig van hoe amavis werkt..
Het is in combinatie met sendmail en amavis milter support...

Alle nodige perl extenties zijn geinstalleerd.. en de perl versie is 5.8.6
verder werkt ie wel, maar iedere minuut komt er een zombie bij...

Weet iemand hoe amavis werkt?
als ik de amavisd vergelijk met de geinstalleerde, dan zijn ze echt vreselijk verschillend..
een diff geeft echt ladingen text..
Ik wil dus best de nieuw amavisd perl script even neerzetten maar kan ik dit zomaar doen?
Hangt dat aan nog andere files?

Ik weet niets van amavis... en ik kan ook niet echt de info vinden die me op weg helpt...
Even iets anders installeren als ClamAV is momenteel nog geen optie.. later misschien wel, maar momenteel nog even niet.. ik wil gewoon nu even van die zombies af.....

Kan iemand me op weg helpen?

edit: het nieuwe amavisd perlscript neerzetten helpt ook niets...
blijkbaar gaat het ergens anders fout..

[ Voor 5% gewijzigd door xzenor op 04-04-2005 15:35 ]

maandag 4 april 2005 15:35

Acties:

Wilke

Dit lijkt me nou typisch wel weer iets voor in Non-Windows Operating Systems. Meestal verplaatsen we topics andersom, maar ok

maandag 4 april 2005 15:37

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

toch wel?
Ik vond amavis gewoon software, dus ik dacht dat het hier moest

Ik dacht: 'anders wordt ie toch weer naar SA verplaatst'

bedankt voor de move in iedergeval..

maandag 4 april 2005 16:23

Acties:

Verwijderd

Kun je eens kijken of je 1 van die zombies kunt stracen cq ltracen? Staat er nog iets nuttigs in de amavis logfiles? More info needed !!11

maandag 4 april 2005 18:22

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

Ik weet niets van amavis en ik heb ook eigenlijk geen flauw idee waar ik zo'n logfile terug kan vinden....

ik heb wel perl aangeroepen met -w er bij zodat ik in iedergeval iets van output heb..
maar meer dan dit krijg ik niet:

code:

1	main::rmdir_recursively() called too early to check prototype at /usr/sbin/amavisd.new line 1455.

strace geeft het volgende:

code:

1
2
3

strace -p 33644
strace: open("/proc/...", ...): No such file or directory
trouble opening proc file

Daar kan ik dus ook niks mee...
Iemand anders wel?

maandag 4 april 2005 18:23

Acties:

blaataaps

Heb je /proc wel gemount?

maandag 4 april 2005 18:29

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

ja

is het eerste waar ik naar gekeken heb na die melding

maandag 4 april 2005 18:30

Acties:

knopper

Sander Knopper

Probeer idd de logs eens door te spitten, het loglevel verhogen kan ook nuttig zijn, dit kun je meestal doen in: /etc/amavisd.conf

Kan zijn dat het bij jou natuurlijk ergens anders staat....

maandag 4 april 2005 20:46

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

Dit is wat ik tegenkom in de logfile

code:

Apr  4 18:23:23 xyz amavisd[33627]: do_exit:189 - ending execution with 1
Apr  4 18:24:08 xyz amavisd[39144]: starting.  amavisd 0.1 Mon Apr  4 13:51:09 CEST 2005
Apr  4 18:35:20 xyz amavisd[39144]: do_exit:189 - ending execution with 1
Apr  4 18:35:35 xyz amavisd[39984]: starting.  amavisd 0.1 Mon Apr  4 13:51:09 CEST 2005
Apr  4 18:35:35 xyz amavisd[39984]: set up socket
Apr  4 18:35:35 xyz amavisd[39984]: bound socket
Apr  4 18:35:35 xyz amavisd[39984]: listening
Apr  4 19:05:22 xyz amavisd[39984]: enter accept loop
Apr  4 19:05:22 xyz amavisd[41977]: forked off -- child running...
Apr  4 19:05:22 xyz amavisd[41977]: /var/amavis/amavis-milter-1nMZQ7bi: from=<<jabadabadoe@foobar.nl>>, to=<<jodelahiti@localhost>>
Apr  4 19:05:22 xyz amavisd[41977]: Extracting mime components
Apr  4 19:05:22 xyz amavisd[41977]: Level: 1, parts: 1
Apr  4 19:05:22 xyz amavisd[41977]: Archive nesting depth: 0
Apr  4 19:05:22 xyz amavisd[41977]: File-type of msg-41977-1.txt: ASCII text
Apr  4 19:05:22 xyz amavisd[41977]: msg-41977-1.txt is atomic
Apr  4 19:05:22 xyz amavisd[41977]: Using /usr/local/uvscan/uvscan
Apr  4 19:05:23 xyz amavisd[41977]: Scanning /var/amavis/amavis-milter-1nMZQ7bi/parts/* Scanning file /var/amavis/amavis-milter-1nMZQ7bi/parts/msg-41977-1.txt  Summary report on /var/amavis/amavis-milter-1nMZQ7bi/parts/* File(s)         Total files: ...........       1         Clean: .................       1         Pxyzibly Infected: .....       0
Apr  4 19:05:23 xyz amavisd[41980]: do_exit:455 - ending execution with 0
Apr  4 19:05:23 xyz amavisd[41980]: socket shut down
Apr  4 19:05:23 xyz sm-mta[41976]: j34H5MtI041976: Milter add: header: X-Virus-Scanned: by amavisd-milter (http://amavis.org/
Apr  4 19:05:23 xyz amavisd[41977]: do_exit:455 - ending execution with 0

Weinig activiteit momenteel.. en het aantal zobies dat spawned lijkt nu ook minder te zijn..
eerst ging het met 1 per minuut, maar nu staat er maar 1 zombie sinds ik amavis gestart heb om pak'm beet half 5..
Dat is lastig, want nu weet ik nog niet waar het nou eigenlijk vandaan komt....

[ Voor 4% gewijzigd door xzenor op 04-04-2005 20:54 ]

maandag 4 april 2005 21:02

Acties:

knopper

Sander Knopper

Misschien is het sowieso handig om je te verdiepen in amavisd-new ??

Zie ook: http://www.ijs.si/software/amavisd/

maandag 4 april 2005 21:22

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

misschien wel, maar ik wil het momenteel gewoon werkend hebben zonder dat ik iedere dag 'killall perl5.8.6' moet doen om alle zombie processen op te ruimen...
Dus blijkbaar hangen die zombietjes nog steeds aan het amavis perlscript..
Ik weet niet of amavis-new een grote impact heeft of dat het gewoon een kwestie van een perlscript vervangen is in vergelijking met de oude amavis...

begrijp me niet verkeerd, ik wil het best proberen, maar het is een server in productie, en als ik teveel ga kloten nu dan heb ik het risico dat er iets niet meer werkt en dat kan ik niet hebben.
vandaar dat ik gewoon even van die zombies af wil tijdelijk tot ik dat ding eens behoorlijk kan updaten want hij is best verouderd...

edit: blijkbaar is het per mailtje een zombietje er bij...

[ Voor 38% gewijzigd door xzenor op 04-04-2005 22:25 ]

maandag 4 april 2005 22:47

Acties:

knopper

Sander Knopper

Ik zeg ook niet dat je het meteen op die server moet doen, eerst natuurlijk even uitproberen op een andere pc...;)

Er zijn in elk geval genoeg voorbeeldconfiguraties te vinden op de site die ik je net gaf om je in te verdiepen.

maandag 4 april 2005 22:59

Acties:

_JGC_

Hmm, ik zie dat je amavisd oude versie met milter interface gebruikt in combinatie met een ontiegelijk brakke virusscanner (McAfee uvscan voor *nix is nou niet echt je van het te noemen).

Zelf heb ik slechte ervaringen met commandline virusscanners die voor elk mailtje de complete virusbibliotheek moeten inladen, gaan scannen en dan hopelijk alles weer vrijgeven.

Zelf heb ik een tijd Sophos sweep met daarbij "Sophie" gebruikt om mails te scannen. Sophie is de daemonized versie van de sophos SAVI libraries. Later ben ik overgestapt naar Clamav en kwam ik tot de ontdekking dat clamav eigenlijk nix laat glippen wat sophos/sophie later alsnog detecteert. Tegenwoordig gebruik ik dus gewoon Clamav, daemonized versie.

Ik vond destijds de oude versies van amavis niet je-van-het werken, heb daarna met qmail gedraaid met qmail-scanner, ook niet naar tevredenheid. Nog een stuk later uiteindelijk overgestapt op postfix en een zelfgeschreven shellscript. Pas een paar maand terug ben ik overgeschakeld naar amavisd-new, naar volle tevredenheid.

dinsdag 5 april 2005 17:56

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

_JGC_ schreef op maandag 04 april 2005 @ 22:59:
Hmm, ik zie dat je amavisd oude versie met milter interface gebruikt in combinatie met een ontiegelijk brakke virusscanner (McAfee uvscan voor *nix is nou niet echt je van het te noemen).

Klopt, de sendmail versie van toen ondersteunde milter nog niet eens.
De source van sendmail is toen gepatched zodat het 't wel ondersteunde ofzo..
dat is wat me verteld is in iedergeval door degene die het opgezet heeft
Maarja die weet het fijne er ook niet meer van

Ik ben erg blij dat die bak niet direct aan het internet hangt..........

_JGC_ schreef op maandag 04 april 2005 @ 22:59:Zelf heb ik slechte ervaringen met commandline virusscanners die voor elk mailtje de complete virusbibliotheek moeten inladen, gaan scannen en dan hopelijk alles weer vrijgeven.

Dus eigenlijk kan het ook nog aan de virusscanner liggen, dat die de boel vast houdt...
Lijkt me niet, want als ik perl kill, dan kill ik de childs/zombies ook, en het enige wat op perl draait is amavis.

_JGC_ schreef op maandag 04 april 2005 @ 22:59:
Zelf heb ik een tijd Sophos sweep met daarbij "Sophie" gebruikt om mails te scannen. Sophie is de daemonized versie van de sophos SAVI libraries. Later ben ik overgestapt naar Clamav en kwam ik tot de ontdekking dat clamav eigenlijk nix laat glippen wat sophos/sophie later alsnog detecteert. Tegenwoordig gebruik ik dus gewoon Clamav, daemonized versie.

ClamAV is wat ik er graag op zou willen hebben, maar gezien de 'versie' van sendmail en de aanpassingen die er aan gedaan zijn durf ik dat niet zomaar op afstand te doen.. Downtime wordt me niet in dank afgenomen zal ik maar zeggen...

_JGC_ schreef op maandag 04 april 2005 @ 22:59:Ik vond destijds de oude versies van amavis niet je-van-het werken, heb daarna met qmail gedraaid met qmail-scanner, ook niet naar tevredenheid. Nog een stuk later uiteindelijk overgestapt op postfix en een zelfgeschreven shellscript. Pas een paar maand terug ben ik overgeschakeld naar amavisd-new, naar volle tevredenheid.

Ik dacht eigenlijk dat milter de enige manier was om iets met sendmail te kunnen doen..
Spamassassin werkt ook met milter en ik moet zeggen, naar volle tevredenheid..
Thuis dan..... op die bak met het amavis probleem krijg ik het nog niet werkend....

dinsdag 5 april 2005 18:28

Acties:

_JGC_

amavisd-new integreert tegenwoordig de perl module van spamassassin. Behalve spamassassin geinstalleerd te hebben, hoef je daar dus niets meer mee te doen.

Verder zijn er 2 mogelijkheden om amavis op te zetten:

- milter interface, sendmail stuurt bij elke binnengekomen mail de mail door aan amavis en krijgt dan het bericht via milter terug
- dual-instance, sendmail neemt met 1e instantie mail aan, stuurt dat door naar amavis en krijgt het op de 2e instantie weer binnen (of niet in geval van virus of duidelijk spam)

Verder clamav, als je amavis nog niet dusdanig oud is dat ie ouder is dan wanneer clamd zn interfaces zijn vastgelegd, is het omzetten van uvscan naar clamd een eitje. Paar strings aanpassen in de amavis config, zorgen dat clamav-daemon en clamav-freshclam draaien en gaan met die banaan. Scantijden van 2s naar 0.02s

vrijdag 8 april 2005 14:29

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

Topicstarter

ClamAV draait..
Dat is echt veel simpeler dan dat amavis zeg..
Bedankt voor alle hulp in iedergeval.. ik ben blij dat ik toch dat amavis er uit heb kunnen krijgen..
Wat een troep vergeleken met ClamAV