[Postfixbuch-users] connect from local host

Robert Felber r.felber at ek-muc.de
Di Feb 21 11:13:14 CET 2006 

On Tue, Feb 21, 2006 at 11:06:05AM +0100, Robert Felber wrote:
> > ok hier das log
> > Tue Feb 21 10:40:44 2006: amavisd    7186    vscan   10w  IPv4 
> > 231490       TCP 127.0.0.1:53789->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:40:44 2006: smtpd      8321  postfix    9u  IPv4 
> > 231491       TCP 127.0.0.1:10025->127.0.0.1:53789 (ESTABLISHED)
> > Tue Feb 21 10:43:52 2006: amavisd    7957    vscan   10w  IPv4 
> > 250863       TCP 127.0.0.1:57373->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:44:35 2006: master     2940     root   75u  IPv4 
> > 255314       TCP 127.0.0.1:57380->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:44:45 2006: master     2940     root   75u  IPv4 
> > 256333       TCP 127.0.0.1:57387->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:49:12 2006: amavisd    7996    vscan   10w  IPv4 
> > 283916       TCP 127.0.0.1:49669->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:49:12 2006: smtpd      8321  postfix    9u  IPv4 
> > 283917       TCP 127.0.0.1:10025->127.0.0.1:49669 (ESTABLISHED)
> > Tue Feb 21 10:51:05 2006: master     2940     root   75u  IPv4 
> > 295503       TCP 127.0.0.1:49691->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:51:08 2006: amavisd    7793    vscan   10w  IPv4 
> > 295854       TCP 127.0.0.1:49695->127.0.0.1:10025 (ESTABLISHED)
> > Tue Feb 21 10:51:08 2006: smtpd     13648  postfix   10u  IPv4 
> > 295858       TCP 127.0.0.1:10025->127.0.0.1:49695 (ESTABLISHED)
> > 
> > sieht mir nicht so aus als wäre der übeltäter dabei. Die connects alle 
> > 10 secunden waren weiterhin zu sehen.
> 
> 
> es waere sinnvoll die connects aus dem maillog mit aufzulisten, um es gegen
> die timestamps pruefen zu koennen.
> 
> heist, die timestamps aus dem maillog sollten zu dem perl debug.log passen.

seufz, es sieht fast so aus, als ob dein lsof bei dem -n switch auch die
service namen zu nummern macht: wenigstens wissen wir nun, auf welchem port dein
amavis laeuft, also:

perl -e 'while(1){ open(PIPE, "lsof -n -i |"); while(<PIPE>){ print localtime.": ".$_ if $_ =~ /->127.0.0.1:(25 |smtp|10025).*(EST|WAIT)/; }; close PIPE; select(undef,undef,undef,0.01); }' > debug.log

das ist wiedermal (vorsichtshalber) angepasst. laufen lassen, maillog beobachten
sobald der omminoese connect kommt debug.log und betreffende zeilen aus
dem maillog posten.



-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users