[Postfixbuch-users] connect from local host

christian zimmermann christian at looony.de
Di Feb 21 11:00:44 CET 2006 

Robert Felber wrote:

>Das ist ein LISTEN, also ok, der wurde halt gespawnt aufgrund eines connect.
>
>perl -e 'while(1){ open(PIPE, "lsof -n -i |"); while(<PIPE>){ print localtime.": ".$_ if $_ =~ /127.0.0.1:smtp.*(EST|WAIT)/; }; close PIPE; select(undef,undef,undef,0.01); }' > debug.log
>
>
>So, wenn dein amavis natuerlich noch laeuft, kann es auch sein, dass du den
>smtpd auf dem reinjection port mit ueberwachen musst (festgelegt in deiner
>master.cf, die keiner kennt):
>
>perl -e 'while(1){ open(PIPE, "lsof -n -i |"); while(<PIPE>){ print localtime.": ".$_ if $_ =~ /127.0.0.1:(smtp|10025).*(EST|WAIT)/; }; close PIPE; select(undef,undef,undef,0.01); }' > debug.log
>
>wobei 10025 bei mir so ist, wenn dein reinjection smtpd auf einem anderen port
>liegt, musst du das eben in dem perl 1 zeiler anpassen.
>
>das laesst du solange laufen, bist du in deinem logfile die omminoese 
>verbdindung hast. und dann musst du hoffen, dass der perl einzeiler den
>mit erwischt hat, und gegen die timestamps pruefen.
>
>warnung: diese debug methode ist nicht der performance knaller.
>
>  
>
ok hier das log
Tue Feb 21 10:40:44 2006: amavisd    7186    vscan   10w  IPv4 
231490       TCP 127.0.0.1:53789->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:40:44 2006: smtpd      8321  postfix    9u  IPv4 
231491       TCP 127.0.0.1:10025->127.0.0.1:53789 (ESTABLISHED)
Tue Feb 21 10:43:52 2006: amavisd    7957    vscan   10w  IPv4 
250863       TCP 127.0.0.1:57373->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:44:35 2006: master     2940     root   75u  IPv4 
255314       TCP 127.0.0.1:57380->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:44:45 2006: master     2940     root   75u  IPv4 
256333       TCP 127.0.0.1:57387->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:49:12 2006: amavisd    7996    vscan   10w  IPv4 
283916       TCP 127.0.0.1:49669->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:49:12 2006: smtpd      8321  postfix    9u  IPv4 
283917       TCP 127.0.0.1:10025->127.0.0.1:49669 (ESTABLISHED)
Tue Feb 21 10:51:05 2006: master     2940     root   75u  IPv4 
295503       TCP 127.0.0.1:49691->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:51:08 2006: amavisd    7793    vscan   10w  IPv4 
295854       TCP 127.0.0.1:49695->127.0.0.1:10025 (ESTABLISHED)
Tue Feb 21 10:51:08 2006: smtpd     13648  postfix   10u  IPv4 
295858       TCP 127.0.0.1:10025->127.0.0.1:49695 (ESTABLISHED)

sieht mir nicht so aus als wäre der übeltäter dabei. Die connects alle 
10 secunden waren weiterhin zu sehen.

Mehr Informationen über die Mailingliste Postfixbuch-users