Linux root verstuurt mail naar root@domein elk 30 min - Linux en overige clients

zondag 15 januari 2012 15:29

Acties:

0 Henk 'm!

Topicstarter

Ik heb een vaag iets wat nu al jaren aan de gang is op mijn server en ik dacht, laat ik er vandaag even verder in verdiepen.

Het is een Debian squeeze server met Postfix geconfigureerd om mails te versturen. Het is geen mailserver.
De mails worden verstuurd als mijn software raid degraded is of een ander system event. Dus enkel versturen naar een opgegeven e-mail adres in de aliases bestand.

Nu kom ik in de mail log files het volgende tegen:

code:

Jan 15 09:09:02 server postfix/pickup[4931]: 02482DF66D: uid=0 from=<root>
Jan 15 09:09:02 server postfix/cleanup[27470]: 02482DF66D: message-id=<20120115080902.02482DF66D@server>
Jan 15 09:09:02 server postfix/qmgr[10666]: 02482DF66D: from=<root@domeinnaam.nl>, size=1260, nrcpt=1 (queue active)
Jan 15 09:09:02 server postfix/smtp[27472]: 02482DF66D: to=<root@domeinnaam.nl>, orig_to=<root>, relay=smtp.ziggo.nl[212.54.42.9]:
25, delay=0.36, delays=0.08/0.01/0.08/0.19, dsn=2.0.0, status=sent (250 OK id=1RmL9C-0005Ap-3h)
Jan 15 09:09:02 server postfix/qmgr[10666]: 02482DF66D: removed

Dit gebeurt elk half uur en 10 minuten na het half uur.

Postfix config

code:

smtp_generic_maps = hash:/etc/postfix/generic
myhostname = server
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydomain = domeinnaam.nl
mydestination = localhost.localdomain, localhost
relayhost = smtp.ziggo.nl
mynetworks = 127.0.0.0/8 172.16.100.0/24 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

In de mail queue gekeken, maar het bericht wordt al direct uit de queue verwijderd. Er komt niks aan op dat domein root@domeinnaam.nl (ik heb vanochtend een e-mail account aangemaakt om te kijken of het ook echt aankomt op dat account - E-mail wordt gehost op Google Apps, dus extern)

In de root op de cli gechecked of er mails zijn. Ook niet.
Sendmail geprobeerd en dan wordt er wel een e-mail verstuurd en deze komt ook aan. Behalve als ik een mail stuur naar root@domeinnaam.nl dan komt die niet aan. (wel als ik met extern hotmail account naar dat adres stuur, dan komt het wel direct aan)

Ok, dus dan kan ik de conclusie trekken dat als hij dat als destination ziet, dat die de mail niet verstuurd maar binnen het systeem verstuurd? Verklaart nog niet waarom hij wel gewoon met de SMTP van Ziggo verbinding maakt en Ziggo het mailtje verstuurd?

Ik probeer uit te vogelen waarom er constant een mail verstuurd wordt en wat er in staat.
Ik heb daarnaast nog een ander vaag iets dus ik probeer te kijken of dat met elkaar in verband staat.

Ander probleem is dat mijn mdadm software raid 5 elke nacht op exact hetzelfde tijdstip 02:24 gaat ratelen voor 1 minuut lang. (geen cron jobs of wat dan ook.. ik kan echt NIKS vinden)

[ Voor 9% gewijzigd door peak op 15-01-2012 15:35 ]

zondag 15 januari 2012 16:06

Acties:

0 Henk 'm!

magistus

geen cron lijkt mij onwaarschijnlijk, wat staat er in /etc/crontab en bestaat /etc/cron.daily/mdadm ?

Vwbt het niet ontvangen van de mail, afgaande op de melding "status=sent (250 OK id=1RmL9C-0005Ap-3h)..." is de mail gewoon geaccepteerd door de relay (in dit geval ziggo). Dat de mail niet aankomt zal wel iets met spamfiltering te maken hebben. Ik kan mij zo voorstellen dat het spul gewoon geblocked wordt aan de ontvangende kant. Zet de root alias (indien mogelijk) eens 'uit' en kijk wat er voorbij komt. Of stel iets van een auto-bcc in naar een lokaal account, grijp de inhoud van de uitgaande mail met tcpdump, stel delays in (geeft je de tijd om de mail in de queue te bekijken), etc

zondag 15 januari 2012 16:31

Acties:

0 Henk 'm!

Joseph

Managementsoftware met mail notifications geïnstalleerd wellicht?

Kijk even in de processtable. Het zou heel misschien een rootkit kunnen zijn, die een soort phone home functie heeft.

zondag 15 januari 2012 16:51

Acties:

0 Henk 'm!

peak

Topicstarter

@magistus

Ik heb wel cron jobs, maar die draaien op andere tijden en ik heb gechecked of ze ook echt op dat tijdstip draaien.

De /etc/crontab bevat de default value zoals (niks bijzonder dus)

code:

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#

Ik heb wel een cron.daily/mdadm file.

Deze checkt elke dag of er niet stiekem een schijf offline is.

exec $MDADM --monitor --scan --oneshot

Ik heb deze commando zelf nog uitgevoerd en dit veroorzaakt niet het lange geratel van 1 minuut.

Weer terug op het mail verhaal:
Nee geen managementsoftware draaien. Ook geen rootkit of andere rare processen gezien.

Mijn vraag is eigenlijk
1: Wat veroorzaakt het periodieke mail sturen
2: Waarom is de afzender hetzelfde als de ontvanger?

De alias van root verwijst naar mike@domeinnaam.nl
Dit werkt ook gewoon als ik een test mail stuur naar "root" (dus zonder @domeinnaam.nl, de aliases file wordt gechecked en deze haalt het juiste e-mail adres op)

Dus conclusie, als ik zelf het commando typ om mails te versturen dan wordt de aliases wel opgevraagd, maar iets wat elk half uur gebeurt zonder mijn interactie verstuurd toch een mail van root@domeinnaam.nl naar root@domeinnaam.nl

Ik moet eigenlijk proberen om dat root te vervangen naar test of iets dergelijks. Dus het from adres wordt test@domeinnaam.nl en dan hopen dat die het To adres op root@domeinnaam.nl laat staan.

Iemand suggesties om dit laatste voor elkaar te krijgen?

*EDIT
Blijkbaar nog iemand met zelfde probleem zonder oplossing

http://www.linuxforums.or...elf-messages-postfix.html

[ Voor 4% gewijzigd door peak op 15-01-2012 20:22 ]

zondag 15 januari 2012 23:30

Acties:

0 Henk 'm!

Verwijderd

peak schreef op zondag 15 januari 2012 @ 16:51:
Mijn vraag is eigenlijk
1: Wat veroorzaakt het periodieke mail sturen
2: Waarom is de afzender hetzelfde als de ontvanger?

De alias van root verwijst naar mike@domeinnaam.nl
Dit werkt ook gewoon als ik een test mail stuur naar "root" (dus zonder @domeinnaam.nl, de aliases file wordt gechecked en deze haalt het juiste e-mail adres op)

1. Dat moet wel een crontab zijn. Geeft crontab -e misschien inzicht? Dat gebruik ik altijd, en waar die z'n data laat is me een raadsel.
2. Cron stuurt altijd mailtjes naar root@hostname, en cron draait als root op hostname, dus de afzender is root@hostname. En waarschijnlijk is hostname in jouw geval domein.nl.

Wat gebeurd er als je in /etc/aliases root: foo@gmail.com zet? (dus niet @domein.nl, en altijd newaliases draaien

)

maandag 16 januari 2012 07:31

Acties:

0 Henk 'm!

peak

Topicstarter

Er zit verder niks in crontab.. geloof me nou maar. Dat was namelijk het eerste wat ik af ben gegaan voor alle accounts (3 accounts, incl root account)

Als ik het mail adres van root in de aliases verander naar foo@gmail.com verandert dat niks in de mail log. Hij verstuurd dan niet naar foo@gmail.com maar naar root@domeinnaam.nl (omdat domeinnaam.nl in de main.cf van postfix is geconfigureerd)

Dus je zou kunnen zeggen dat m'n aliases wordt genegeerd, echter als ik via de CLI met mijn vingers een mail naar root verstuur, dan leest hij de aliases wel correct uit en komt het mailtje wel aan bij foo@gmail.com

Als ik via Sendmail met mijn vingers een e-mail wil versturen naar root@domeinnaam.nl (wat ook echt bestaat en zelfs jullie zouden er naar toe kunnen mailen) dan komt die niet aan. Het lijkt erop dat de server het bericht binnen houdt. (maar dit komt niet overeen met de mail.log, want die zegt dat het bericht naar SMTP relay van Ziggo is verstuurd) Verwarrend dus....

[ Voor 23% gewijzigd door peak op 16-01-2012 07:34 ]

maandag 16 januari 2012 07:37

Acties:

0 Henk 'm!

durian

(delete)

[ Voor 98% gewijzigd door durian op 16-01-2012 07:58 ]

maandag 16 januari 2012 07:42

Acties:

0 Henk 'm!

Xudonax

Als je de alias nu eens weghaalt, dan wordt je mail lokaal afgeleverd. Dan kun je vervolgens op de machine zelf inloggen als root (bij voorkeur via sudo of su) en je mail checken. Dan kun je in ieder geval zien wat er gebeurd. Je kunt je mail op de lokale machine bekijken met met programma mail. Dit moet je in ieder geval laten zien wat er in de mail staat.

Met de inhoud van die mail kun je vervolgens verder gaan kijken naar wat er gebeurd en waar het vandaan komt.

EDIT: Mocht je op deze manier als root op de lokale machine nog geen mail ontvangen, probeer dan eens MAILTO="root@localhost" bovenaan de crontab van root te zetten.

[ Voor 15% gewijzigd door Xudonax op 16-01-2012 07:53 ]

maandag 16 januari 2012 13:47

Acties:

0 Henk 'm!

peak

Topicstarter

Xudonax,

Beide dingen geprobeerd... nothing works. Blijft het zelfde in de log file.

maandag 16 januari 2012 13:58

Acties:

0 Henk 'm!

DiedX

Hou er rekening mee dat je crons kan hebben per gebruiker (crontab -e), maar dat je ook in /etc/cron of /etc/cron.d (afhankelijk van je distro) nog crons kan hebben.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 16 januari 2012 14:05

Acties:

0 Henk 'm!

peak

Topicstarter

DiedX schreef op maandag 16 januari 2012 @ 13:58:
Hou er rekening mee dat je crons kan hebben per gebruiker (crontab -e), maar dat je ook in /etc/cron of /etc/cron.d (afhankelijk van je distro) nog crons kan hebben.

Love you!

code:

# /etc/cron.d/php5: crontab fragment for php5
#  This purges session files older than X, where X is defined in seconds
#  as the largest value of session.gc_maxlifetime from all your php.ini
#  files, or 24 minutes if not defined.  See /usr/lib/php5/maxlifetime

# Look for and purge old sessions every 30 minutes
09,39 *     * * *     root   [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 200 -r -0 rm

De tijden komen overeen

En kennelijk is het default behavior dat die een mail naar zich zelf stuurt.

Ik ben nu met postfix aan het zorgen dat local delivery niet meer kan plaatst vinden. (Dit is dus nu wel het geval, want root@domeinnaam.nl houdt die intern, is overigens alleen bij het root account las ik ergens en in de postfix manual)

Postfix as a Null Client
http://www.postfix.org/STANDARD_CONFIGURATION_README.html

Ik heb de Mailto maar in de PHP cron gedaan en dit probeert mn server mij te mailen

code:

PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php5/20090626+lfs/mysql.so' - /usr/lib/php5/20090626+lfs/mysql.so: cannot open shared object file: No such file or directory in Unknown on line 0

@Anton_89 Excuses. Het was inderdaad een cron job, maar ik ging er vanuit dat cron jobs alleen onder user accounts staan (dus crontab -e )

[ Voor 15% gewijzigd door peak op 16-01-2012 14:12 ]

maandag 16 januari 2012 15:01

Acties:

0 Henk 'm!

DiedX

peak schreef op maandag 16 januari 2012 @ 14:05:
[...]

Love you!

Gern gemacht. Overigens kan je per cron ook weer een MAILTO zetten, waardoor de output daarvan naar het juiste adres toe gaat. Ik denk dat je het beste je /etc/aliases aan kan passen:

root: foo@bar
newaliases

(al is dat weer iets anders met Postfix, maar daar heb je de handleiding voor

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 16 januari 2012 21:03

Acties:

0 Henk 'm!

d1ng

Je kan evt. ook opnemen in je cron:

code:

MAILTO=""

Dat zorgt ervoor dat de output van die cronjobs (in die file) naar niemand gemailt wordt.

[ Voor 4% gewijzigd door d1ng op 16-01-2012 21:04 ]