Dienste quittieren ohne Vorwarnung den Dienst

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 20.02.2016 22:19:57

Hallo.

Hatte ein ähnliches Problem (vielleicht das selbe) früher schon.

Syslog ist leider keine Hilfe, da nichts entsprechendes protokolliert wird...

(LXC-VPS)

auth.log

Code: Alles auswählen

Feb 20 13:58:45 3 postfix/smtpd[28857]: sql plugin Parse the username xerox 
Feb 20 13:58:45 3 postfix/smtpd[28857]: sql plugin try and connect to a host 
Feb 20 13:58:45 3 postfix/smtpd[28857]: sql plugin trying to open db 'xxx' on host '127.0.0.1:3306' 
Feb 20 16:17:14 3 sshd[2417]: Set /proc/self/oom_score_adj from 0 to -1000
Feb 20 16:17:14 3 sshd[2417]: debug1: Bind to port 22 on 0.0.0.0.
Feb 20 16:17:14 3 sshd[2417]: Server listening on 0.0.0.0 port 22.
Feb 20 16:17:14 3 sshd[2417]: debug1: Bind to port 22 on ::.
Feb 20 16:17:14 3 sshd[2417]: Server listening on :: port 22.
syslog

Code: Alles auswählen

Feb 20 14:01:15 3 dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@domain.com>, method=PLAIN, rip=92.45.000.000, lip=xx.yy.zz.aa, session=<lvG/MTMsRABcLc5Q>
Feb 20 14:01:50 3 dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@domain.com>, method=PLAIN, rip=92.45.000.000, lip=xx.yy.zz.aa, session=<wa3cMzMskgBcLc5Q>
Feb 20 14:29:09 3 -- MARK --
Feb 20 14:49:09 3 -- MARK --
Feb 20 15:09:09 3 -- MARK --
Feb 20 15:29:09 3 -- MARK --
Feb 20 15:49:09 3 -- MARK --
Feb 20 16:09:09 3 -- MARK --
Feb 20 16:17:14 3 syslogd (GNU inetutils 1.9): restart
(bei 16:17:14 wurde ein reboot initiiert)

xconsole.log

Code: Alles auswählen

FFeb 20 14:01:15 3 dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@domain.com>, method=PLAIN, rip=92.45.000.000, lip=xx.yy.zz.aa, session=<lvG/MTMsRABcLc5Q>
Feb 20 14:01:50 3 dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@domain.com>, method=PLAIN, rip=92.45.000.000, lip=xx.yy.zz.aa, session=<wa3cMzMskgBcLc5Q>
Feb 20 14:29:09 3 -- MARK --
Feb 20 14:49:09 3 -- MARK --
Feb 20 15:09:09 3 -- MARK --
Feb 20 15:29:09 3 -- MARK --
Feb 20 15:49:09 3 -- MARK --
Feb 20 16:09:09 3 -- MARK --
Feb 20 16:17:14 3 syslogd (GNU inetutils 1.9): restart
daemon.log

Code: Alles auswählen

Feb 20 13:46:28 3 proftpd[28661]: 0.0.0.3 (127.0.0.1[127.0.0.1]) - FTP session opened. 
Feb 20 13:46:28 3 proftpd[28661]: 0.0.0.3 (127.0.0.1[127.0.0.1]) - Preparing to chroot to directory '/var/www/virtual/domain.com/htdocs' 
Feb 20 13:46:28 3 proftpd[28661]: 0.0.0.3 (127.0.0.1[127.0.0.1]) - FTP session closed. 
Feb 20 16:17:14 3 panel_daemon[2373]: Panel daemon v1.2.11 started.
Feb 20 16:17:14 3 named[2438]: starting BIND 9.8.4-rpz2+rl005.12-P1 -u bind
Wie kann hier ein debugging des kompletten Systems ausgeführt werden?

Danke.
Zuletzt geändert von ciscllc am 22.02.2016 08:06:10, insgesamt 1-mal geändert.

ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 20.02.2016 22:29:15

Ach ja, folgende Dienste sind ausgefallen (vielleicht noch mehr...)

Messaging Dienst (Port 587)
SMTP (Port 25)
SMTP-SSL (Port 465)

(Postfix - mit dovecot)

PS.: Cron war zu diesem Zeitpunkt gestoppt, kann also nichts damit zu tun haben...

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von mistersixt » 21.02.2016 08:47:21

Falls Jemand die Prozess mit "SIGKILL" beendet (kill -9), haben diese Prozesse keine Chance mehr, irgend etwas in ein Logfile zu schreiben. Bist Du der einzige Admin auf diesem Server? Mal rkhunter oder chkrootkit laufen lassen? Oder hast Du mal mit "dmesg" geschaut, ob der Kernel etwas meldet, sowas wie der out-of-memory-killer, der Prozesse abknallt, falls extrem viel RAM verbraucht wird und inkl. Swap nicht mehr ausreicht?

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 21.02.2016 10:57:16

Hallo!

Danke für die Antwort.

Ich bin der einzige Admin, rkhunter und chkrootkit laufen täglich und haben nichts gemeldet.
der oom killer melde nichts. Der VPS hat 12 GB Ram, verwendet davon 1.5GB und dazu 1GB Swap (ist leer)

Es wird ja nicht der komplette deovecot gekillt, sondern nur SMTP(-SSL) und der messaging dienst

hm....

DeletedUserReAsG

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von DeletedUserReAsG » 21.02.2016 11:17:40

Was ist mit den Logs der hier nicht näher bezeichneten „Dienste“? Was mit dmesg? Gibt es ein erkennbares zeitliches Muster der Terminierung? Korreliert die Terminierung mit anderen Auffälligkeiten (Lastspitzen, etc.)? Warum werden Systemdetails nicht verraten? Fragen über Fragen, und meine Glaskugel hat doch immer noch keinen TÖV … :-/

ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 22.02.2016 07:54:02

Hallo niemand.

Meine Dienste habe ich oben bereits erwähnt: postfix+dovecot (wobei nur der messaging Dienst und smtp)
dmesg gibt nur apparmor Nachrichten aus (wobei nicht zu diesem Zeitpunkt)
Zeitliches Muster: Meist mitten in der Nacht, manchmal gegen 14.00 - 14:30 Uhr

Andere Auffälligkeiten: viele Cron Prozesse (ca. 150) und kurze RAM Spitze. Wurde aber auch mit gestoppten Cron versucht - tritt dann zu anderer Zeit auf.

Systemdetails: debian 7.9, apache 2.22, mysql, postfix, proftp, dovecot, virtueller Server mit "3" CPUs, 12 GB Ram, 1 GB Swap, LXC Virtualisierung.

Danke

DeletedUserReAsG

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von DeletedUserReAsG » 22.02.2016 15:47:41

Und was steht nun in den Logs von Postfix und Dovecot?

ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 22.02.2016 19:35:00

niemand hat geschrieben:Und was steht nun in den Logs von Postfix und Dovecot?
Naja, wenn da was stehen würde, wäre es hier gepostet!

Ein Auszug:

Code: Alles auswählen

Feb 21 20:54:55 3 postfix/smtpd[19595]: disconnect from unknown[192.26.111.000]
Feb 21 20:58:55 3 dovecot: pop3-login: Login: user=<name@domain.com>, method=PLAIN, rip=178.113.111.222, lip=51.254.111.222, mpid=19654, TLS, session=<DV9mJU0sPgCycQTg>
Feb 22 07:27:13 3 dovecot: pop3-login: Login: user=<office@domain.net>, method=CRAM-MD5, rip=178.113.111.222, lip=51.254.111.222, mpid=19667, TLS, session=<osi9KE0sRQCycQTg>
Feb 22 06:37:25 3 spamd[3532]: spamd: connection from 3.thisserver.local [127.0.0.1] at port 42018 
Feb 22 07:27:14 3 spamd[3532]: spamd: bad protocol: header error: (closed before headers) 
Feb 22 07:26:41 3 postfix/master[29692]: daemon started -- version 2.11.2, configuration /etc/postfix
Es wurde hier nichts ausgelassen und auch nichts verschoben. Ja, das mit dem Datum / Uhrzeit passt so nicht, steht aber so in der mail.info

dmesg log (von Vorgestern, seither keine Einträge)

Code: Alles auswählen

[2166194.758571] vmbr0: port 4(veth252i0) entered forwarding state
[2166194.758640] vmbr0: port 4(veth252i0) entered forwarding state
und noch die messages

Code: Alles auswählen

Feb 21 19:57:14 3 -- MARK --
Feb 21 20:17:14 3 -- MARK --
Feb 21 20:37:14 3 -- MARK --
Feb 21 20:57:14 3 -- MARK --
Feb 21 21:17:14 3 -- MARK --
Feb 21 21:37:14 3 -- MARK --
Feb 21 21:57:14 3 -- MARK --
Feb 21 22:17:14 3 -- MARK --
Feb 21 22:37:14 3 -- MARK --
Feb 21 22:57:14 3 -- MARK --
Feb 21 23:17:14 3 -- MARK --
Feb 21 23:37:14 3 -- MARK --
Feb 21 23:57:14 3 -- MARK --
Feb 22 00:17:14 3 -- MARK --
Feb 22 00:37:14 3 -- MARK --
Feb 22 00:57:14 3 -- MARK --
Feb 22 01:17:15 3 -- MARK --
Feb 22 01:37:14 3 -- MARK --
Feb 22 01:57:15 3 -- MARK --
Feb 22 02:17:15 3 -- MARK --
Feb 22 02:37:15 3 -- MARK --
Feb 22 02:57:15 3 -- MARK --
Feb 22 03:17:15 3 -- MARK --
Feb 22 03:37:15 3 -- MARK --
Feb 22 03:57:15 3 -- MARK --
Feb 22 04:17:15 3 -- MARK --
Feb 22 04:37:15 3 -- MARK --
Feb 22 04:57:15 3 -- MARK --
Feb 22 05:17:15 3 -- MARK --
Feb 22 05:37:15 3 -- MARK --
Feb 22 05:57:15 3 -- MARK --
Feb 22 06:17:15 3 -- MARK --
Feb 22 06:37:15 3 -- MARK --
Feb 22 06:57:15 3 -- MARK --
Feb 22 07:17:15 3 -- MARK --
Feb 22 07:27:13 3 vmunix: [2307254.281347] audit: type=1400 audit(1456122433.920:65312): apparmor="DENIED" operation="sendmsg" profile="/usr/sbin/named" name="/run/systemd/journal/dev-log" pid=1568 comm="named" requested_mask="w" denied_mask="w" fsuid=109 ouid=0

ciscllc
Beiträge: 15
Registriert: 17.12.2005 11:18:00

Re: Dienste quittieren ohne Vorwarnung den Dienst

Beitrag von ciscllc » 26.02.2016 15:01:40

Hat hier niemand eine Idee?

Danke!

Antworten