Toon posts:

NW 5.1/Grpwise hacked?

Pagina: 1
Acties:

dinsdag 22 juli 2003 19:58

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
NW5.1 SP5 installed
BorderManager 3.6 SP2
Groupwise 5.5 25 users

Sinds vandaag rare meldingen op de console (GWIA) van Grpwise:

Is dit een mailserverhack?
Voorbeeld van een log op de GWIA:

07-21-03 15:34:40 0 Command: HELO SHLBreda.nl
07-21-03 15:34:40 0 Response: 420 TCP read error
07-21-03 15:34:40 0 Analyzing result file: rf1bd6e1.088
07-21-03 15:34:40 0 Detected error on SMTP command
07-21-03 15:34:40 0 Command: HELO SHLBreda.nl
07-21-03 15:34:40 0 Response: 420 TCP read error
07-21-03 15:35:00 0 Analyzing result file: rf1bd6e1.086
07-21-03 15:35:20 0 Detected error on SMTP command
07-21-03 15:35:20 0 Command: RCPT TO:<asasnal@hanmail.net>
07-21-03 15:35:20 0 Response: 550 5.1.1 <asasnal@hanmail.net>... No such user
07-21-03 15:35:20 0 Building message: sf1c0838.001
07-21-03 15:35:20 0 Detected error on SMTP command
07-21-03 15:35:20 0 Command: DATA
07-21-03 15:35:20 0 Response: 503 5.0.0 Need RCPT (recipient)
07-21-03 15:35:20 0 Queuing message to daemon
07-21-03 15:35:20 0 Building undeliverable message
07-21-03 15:35:20 0 Building message: sf1c0838.002
07-21-03 15:35:20 0 Queuing message to daemon
07-21-03 15:35:20 0 Analyzing result file: rf1bd6e1.087
07-21-03 15:35:20 0 Detected error on SMTP command
07-21-03 16 8) :03:36 0 Detected error on SMTP command
07-21-03 16:03:36 0 Command: RCPT TO:<asura-0@hanmail.net>
07-21-03 16:03:36 0 Response: 550 5.1.1 <asura-0@hanmail.net>... No such
user
07-21-03 16:03:36 0 Building message: sf1c0ed8.018
07-21-03 16:03:36 0 Detected error on SMTP command
07-21-03 16:03:36 0 Command: DATA

Na een data command kwam er een melding op de console over een bad subject met de titel allemaal koreaanse tekens. 5 seconsden daarna abend de server. Vanaf dat moment hebben we grote problemen en kunnen we niks meer met grpwise. Hij draait/start wel, maar stuurt geen mail ontvangt niks. Versturen van attachments werkt niet, agenda postings doen werkt niet. Inmiddels hebben we mail relaying uitgezet (domme fout) en de defer en andere queues leeggemaakt, maar het probleem (mailen en attachen, agenda) zijn nog niet weg.
Pls advise...

dinsdag 22 juli 2003 23:35

Acties:

Verwijderd

wat meer info graag.....
wie/wat is SHLBreda.nl?
Die mail adressen, zij die bekend?

woensdag 23 juli 2003 01:48

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 20:46

Mark

Niet gewoon een poging om via jullie Groupwise server te relayen ? Staat er niets in je GWIN (oid, enige tijd geleden dat ik met GW heb gewerkt) directory's op de server ?

woensdag 23 juli 2003 01:53

Acties:
  • Vm1heA
  • Registratie: Augustus 2000
  • Laatst online: 12-02 13:17

Vm1heA

Lijkt op relayen van buitenaf poging.
SMTP error lijkt wel of er een commando gestart word wat niet klopt en misschien door een script gedaan is waar een typo in zit.

Welke SP heb je op je GW staan ?

woensdag 23 juli 2003 09:57

Acties:
  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 15-04 11:50

Tha_Butcha

Ik weet niet veel van Groupwise, maar wat ik wel weet is dat een 550 normaal betekent "Relaying denied", althans bij mijn servers wel (exim/sendmail/postfix)

Compromises are for the weak

woensdag 23 juli 2003 13:26

Acties:

Verwijderd

SHLBreda is mijn werkgever.
check www.shlbreda.nl
De Groupwise versie is versie 5.5 SP1.
Zoals ik al zei is relaying weer uitgezet nadat dit op mysterieuze wijze opeens aanstond vrijdag na een top down database rebuild.

[ Voor 43% gewijzigd door Verwijderd op 23-07-2003 13:29 ]

woensdag 23 juli 2003 15:38

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Kun je nix met Groupwise, of alleen niet met de GWIA?

What use is a man walking on water if you don't follow in his footsteps?

woensdag 23 juli 2003 18:28

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Niemand in het bedrijf kan iets met Groupwise. Heel soms verstuurt ie wel, maar ontvangen en sturen lijkt maar 40% van de tijd. Attachments sturen gaat al helemaal niet. Er zijn geen settings die dit tegenhouden. Kortom, het is behoorlijk down.

woensdag 23 juli 2003 20:04

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Hm. Database corruptie, zou ik zeggen, maar ik neem aan dat je zelf ook al in die richting had gezocht? Krijg je ook foutmeldingen bj het versturen? Hoe maak je verbinding met de PO? IP? File access? In welke queue blijft een mailtje liggen?

What use is a man walking on water if you don't follow in his footsteps?

woensdag 23 juli 2003 20:13

Acties:
  • wica
  • Registratie: Februari 2002
  • Laatst online: 14-01 16:59

wica

De duivel jacht op me

Ik ken GW niet, als eerste. Dus weet niet of het mogelijk is.

misschien een dom idee hoor. Maar als je de fout niet kan vinden. Is het niet handiger en sneller. een andere HD te nemen ff daar alles op zetten van je laatste backup plus OS.
Zodat het weer draaid. EN daarna de HD uit de machine, in een test machine zetten. Om de fout te zoeken. Zo kunnen mensen verder werker. En je krijgt niet elke 10 min. een telefoontje van: "het doet het niet".

RFC | The Linux Document Project | gentoo.

woensdag 23 juli 2003 20:37

Acties:
  • GreeTz
  • Registratie: Juli 2000
  • Laatst online: 10-04 16:25

GreeTz

took the red pill

telnet eens naar je mailserver en verstuur zo via basic smtp commandos eens een bericht naar een intern adres. zo zie je of dit goed gaat, probeer dit ook eens naar een extern adres. Zo kun je zien waar het fout gaat

Alleen:           DE GROETJES

woensdag 23 juli 2003 22:23

Acties:
  • Vm1heA
  • Registratie: Augustus 2000
  • Laatst online: 12-02 13:17

Vm1heA

Verwijderd schreef op 23 July 2003 @ 13:26:
SHLBreda is mijn werkgever.
check www.shlbreda.nl
De Groupwise versie is versie 5.5 SP1.
Zoals ik al zei is relaying weer uitgezet nadat dit op mysterieuze wijze opeens aanstond vrijdag na een top down database rebuild.
Ga eerst eens de nieuwste SP erop zetten, dacht dat dat voor 5.5 SP 5 of 6 was.
Er zitten rare fouten in de oudere SPs.

donderdag 24 juli 2003 08:23

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Het SP5 wil niet installeren. Invalid version of Grpwise of error getting attrbutes. Dat telnetten ga ik vandaag proberen. Er komt as maandag iemand voor een rebuild. Op het volume waar het op stond heb ik een vrepair gedraaid (160.000 errors). Verbinding met PO staat nu op client server via IP (link config). In geen enkele queue zie ik mail blijven liggen. Het gaat gewoon weg, alleen attachmenst niet. Daarnaast is op deze Brdmanager installed. En op de server hebben we ook problemen met files kopieren op alle volumes. Mappings maken gaat ook vaak niet en als je mapt verdwijnt deze na een mislukte kopieeractie (error=stationsaanduiding is niet langer geldig) De grpwise database is idd corrupt imho, more ideas? :-)

[ Voor 36% gewijzigd door wvkreg op 24-07-2003 08:26 . Reden: typos ]

donderdag 24 juli 2003 10:11

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Zo te zien is Groupwise db corruptie maar één van je problemen, en heeft je hele server file i/o problemen. Heb je problemen met het kopiëren van/naar werkstations, of ook op de server zelf?

Als je wilt wil ik de abend.log wel eens bekijken; en de server.log. Aannemende dat je die tenminste kunt kopiëren. Stuur maar naar junkbin op myrealbox.com

What use is a man walking on water if you don't follow in his footsteps?

donderdag 24 juli 2003 11:26

Acties:

Verwijderd

Klopt allemaal idd. Hmm als ik nu map naar de server\sys krijg ik een verkeerd volume te zien, namelijk het software (ofwel grpwise) volume??? Grr, ik stuur je zo de log files. Phew, ik kan op geen enkele manier data pushen naar het web , ik kan alleen maar hier posten. Ik ga even een manier zoeken om het te mailen.

[ Voor 29% gewijzigd door Verwijderd op 24-07-2003 11:52 . Reden: problem noXX ]

donderdag 24 juli 2003 13:38

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Wat mij betreft post je het hier, hoor.

What use is a man walking on water if you don't follow in his footsteps?

donderdag 24 juli 2003 21:03

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Ik heb geen server.log :-( De abend.log vertoont niet vreemds alleen een hang op server.nlm op 18-7. Dat is het probleem niet.

vrijdag 25 juli 2003 07:55

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Kickje..

vrijdag 25 juli 2003 08:36

Acties:
  • Soepie
  • Registratie: Oktober 2000
  • Laatst online: 21:18

Soepie

Welke opties van VREPAIR heb je gebruikt? Als je met 5.1 een vrepair draait met purge deleted items ziet NOVELL het als een error.

Gewoon spullen

vrijdag 25 juli 2003 09:59

Acties:

Verwijderd

gewoon standaard maar retain files en write out to disk zonder log
160590 errors

vrijdag 25 juli 2003 11:14

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Al een dsrepair gedraaid? Let wel: als je inderdaad structurele problemen hebt op je file i/o kan dit het probleem erger maken.

What use is a man walking on water if you don't follow in his footsteps?

vrijdag 25 juli 2003 14:36

Acties:

Verwijderd

Dsrepair al vele male gedraaid.
Als we in nwadmin grpwise instellingen aanpassen voor grpwise krijgen we ook i/o errors

vrijdag 25 juli 2003 18:02

Acties:
  • LePlatDuJour
  • Registratie: April 2002
  • Laatst online: 04-05 16:17

LePlatDuJour

Fighting entropy since 1970

Heb je GW op een apart volume aangemaakt? Optie om dat volume weg te halen/opnieuw aa n te maken/backup restoren? Op virussen gecontroleerd? Dit ziet er niet best uit.

What use is a man walking on water if you don't follow in his footsteps?

vrijdag 25 juli 2003 23:47

Acties:
  • GreeTz
  • Registratie: Juli 2000
  • Laatst online: 10-04 16:25

GreeTz

took the red pill

[b]wvkreg schreef op 24 July 2003 @ 08:23 ...heel verhaal...
Mappings maken gaat ook vaak niet en als je mapt verdwijnt deze na een mislukte kopieeractie (error=stationsaanduiding is niet langer geldig) De grpwise database is idd corrupt imho, more ideas? :-)
de melding: stationsaanduiding is niet langer geldig verschijnt op het moment dat je ingelogd bent en vervolgens de server op zijn bek gaat. Jij doet een kopieerbewerking op een share welke door je werkstation niet meer te benaderen is.
Mocht je server echter nog gewoon aanwezig zijn dan is dit een NDS probleem en zal dit met een DSrepair te verhelpen moeten zijn. Aangezien dit ook geen zoden aan de dijk zet denk ik aan een hardware probleem.

Alleen:           DE GROETJES

vrijdag 25 juli 2003 23:57

Acties:
  • GreeTz
  • Registratie: Juli 2000
  • Laatst online: 10-04 16:25

GreeTz

took the red pill

quote ipv edit

[ Voor 189% gewijzigd door GreeTz op 25-07-2003 23:58 . Reden: aarg, nog maar een biertje ]

Alleen:           DE GROETJES

zaterdag 26 juli 2003 00:00

Acties:
  • Fairy
  • Registratie: Januari 2001
  • Niet online

Fairy

13kWp - Zendure 2400AC+ 16kWh

Hanmail ?? Mag ik 1 tip geven? blokkeer dat hele hanmail gebeuren, daar komt 80% van al onze spam ook vanaf.

PS. Dat ding zit te relayen, heb ik ook een keer gezien bij een Novell server, die stond met alle ISDN lijnen helemaal in het rood.! hij had toen al 450000 mails verstuurd vanuit onze server.

Ik haat die idioten die gebruik maken van relay. Was ook een configuratiefoutje, dat is toen meteen hersteld.

[ Voor 59% gewijzigd door Fairy op 26-07-2003 00:01 ]

zaterdag 26 juli 2003 18:13

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Right
Grpwise staat nu volledig uit. Poort 25 is geblokkeerd. Ik denk ook zeker aan een hardware probleem. RAID 5 set schijven kapot of zo. Het is ook een Compaq Proliant 1600, niet echt de nieuwste...Ik dismount de schijf nu elke dag en als ik een dagje grpwise laat draaien op het volume en ik draai dan een vrepair krijg ik honderdduizenden errors. De logfile zegt me weinig en op het GWIA scherm geeft nog steeds relaying meldingen en veel doorstuur mails. Toch gaan deze nu allen naar de GWPROB dir, dat is eens zo ingesteld. Ik zie echter als ik die dir bekijk dat er ook gewone mailtjes tussen zitten die wel voor ons zijn bestemd. Ik wordt steeds minder blij...

[ Voor 54% gewijzigd door wvkreg op 26-07-2003 20:59 ]

maandag 28 juli 2003 20:10

Acties:
  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 04-05 18:11

wvkreg

Topicstarter
Probleem van het kopieren e.d. was
* SoftPAQ NSSD van HP / Compaq v6.40 van juli 2003 installeeert voor de N100 NIC een driver die grote problemen geeft met IP verkeer. Rollback gedaan dus en het werkt
* Groupwise genereerde hierdoor schrijffouten. Top down rebuild gedaan en SP5 installed. Wel via een vreemde manier nl de files van de cd gekopieerd, deze gepatcht (een soort streamline setup) en weer teruggelopieerd om vervolgens de settings terug te zetten. Lijkt ook te werken.

[ Voor 9% gewijzigd door wvkreg op 05-08-2003 19:03 ]

Pagina: 1
Reageer