########################################
messages에 많이 접해 지는 로그의 내용중 상당 부분은 알지 어려워 그냥 넘어가는 경우가 많다.
이제부터 그런 로그에 관련된 로그를 분석해 해당 로그의 기록된 내용이 의미하는 것을 시리즈 형태로 알아 보기로 한다.
(틀린 내용이나 잘못된 것이 있다면 알려주시기 바랍니다.)
=========================================================================
로그 :
Jun 26 11:04:12 www sendmail[26626]: g5Q246I26624: g5Q24CH26626: DSN: Service unavailable
분석 :
DSN 은 Delivery Status Notification 의 약자로, 배달 상태 메세지를 의미하며, 서비스가 불가능 하다는 상태 메세지를 보여준것임.
DSN 는 서비스가 아니라 로그의 상태를 표시하는 단어이다.
========================================================================
로그 :
Jun 26 11:15:15 www sendmail[27135]: g5Q2FES27135: collect: premature EOM: Error 0
분석 :
premature EOM : Error 0 로그는 Nimba Worm 에 의해 자주 발생하는 mail log중 하나이다.
공격에 의한 로그는 아니며, network상의 일시적인 문제나, 호스트의 연결이 갑자기 끊어질 경우 로 생각하면 될것이다.
이 로그 다음에 아래의 로그가 보인다면 갑자기 접속이 끊어졌다고 보면 될것이다.
Jun 26 11:15:15 www sendmail[27135]: g5Q2FES27135: collect: unexpected close on connection from [61.37.120.58], sender=: Error 0
=========================================================================
로그 :
g5M1EkS08293: timeout waiting for input from mx4.hanmail.net. during client
greeting
g5M1EkS08293: g5M1OlS08295: DSN: User unknown
분석 :
mx4.hanmail.net 에서 서버로 메일을 보내기 위해 helo, Mail from xxx@xxx.com , Rcpt To: yyy@yyy.com
과 같이 같은 진행했다고 할때 RCPT 를 하니 현재 서버에 yyy 라는 유저가 없으면 User
unknown 에러를 발생시키고
리턴을 하게 된다.. 그러면서 위와 같은 로그를 기록하게 된다.
이런 로그가 많이 오면 해당 서버로 오는 메일을 reject 시키던지 하는 방안을 강구해야 한다.
로그내용 : sendmail : rejecting connections on port 25 : load average:24
로그분석 :
이는 load average 내용이 24이기 때문에 sendmail의 작동이 정지한다는 로그 기록..
load average는 4이상이면 부하라고 보면된다.
load average 1이란 cpu 하나가 최대한 사용이 되고 있다는 것을 의미한다.
보통 0.5~1.5 정도가 적당한 상태지만 3~4까지는 그래도 견딜만하다..
sendmail 의 경우 load average 설정을 안 했을 경우 기본값 8 이 넘으면 작동이 멈춘다.
해결방안 :
1. 이런 메세지가 뜨는 경우 필요 없는 process를 죽여서 load average를 낮추거나 sendmail.cf 에서
#load average at which we refuse connections
#0 RefuseLa =12
이곳의 주석을 풀어주고 적절한 셋팅을 해 주는 방법도 임시 방법이 될수 있다.
2. 서버의 부하를 거는 서비스를 찾아서 처리 시키는 것이 최고의 방법이다..^^;;
로그내용 : Jul 5 15:53:46 www sendmail[25566]: NOQUEUE: [211.192.74.202] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
로그분석 :
connection은 이루어 졌으나 아무런 data 전송이 발생하지 않을 경우 남는 메세지로, 접속후 패킷이 다운 되었다는 내용임.
(가장 많이 보는 센드메일 로그라고 생각됨)
위의 로그는 25포트를 port scan을 했을때 자주 남는다.. 또는 텔넷(telnet localhost 25) 으로 접속후 바로 quit 해도 위의 로그가 남게 된다..
즉 socket 를 연결한후 아무 동작없이 빠져 나갔을 경우에 남게 되는 것이다..
Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
//메일박스 권한변경 필요
messages에 많이 접해 지는 로그의 내용중 상당 부분은 알지 어려워 그냥 넘어가는 경우가 많다.
이제부터 그런 로그에 관련된 로그를 분석해 해당 로그의 기록된 내용이 의미하는 것을 시리즈 형태로 알아 보기로 한다.
(틀린 내용이나 잘못된 것이 있다면 알려주시기 바랍니다.)
=========================================================================
로그 :
Jun 26 11:04:12 www sendmail[26626]: g5Q246I26624: g5Q24CH26626: DSN: Service unavailable
분석 :
DSN 은 Delivery Status Notification 의 약자로, 배달 상태 메세지를 의미하며, 서비스가 불가능 하다는 상태 메세지를 보여준것임.
DSN 는 서비스가 아니라 로그의 상태를 표시하는 단어이다.
========================================================================
로그 :
Jun 26 11:15:15 www sendmail[27135]: g5Q2FES27135: collect: premature EOM: Error 0
분석 :
premature EOM : Error 0 로그는 Nimba Worm 에 의해 자주 발생하는 mail log중 하나이다.
공격에 의한 로그는 아니며, network상의 일시적인 문제나, 호스트의 연결이 갑자기 끊어질 경우 로 생각하면 될것이다.
이 로그 다음에 아래의 로그가 보인다면 갑자기 접속이 끊어졌다고 보면 될것이다.
Jun 26 11:15:15 www sendmail[27135]: g5Q2FES27135: collect: unexpected close on connection from [61.37.120.58], sender=: Error 0
=========================================================================
로그 :
g5M1EkS08293: timeout waiting for input from mx4.hanmail.net. during client
greeting
g5M1EkS08293: g5M1OlS08295: DSN: User unknown
분석 :
mx4.hanmail.net 에서 서버로 메일을 보내기 위해 helo, Mail from xxx@xxx.com , Rcpt To: yyy@yyy.com
과 같이 같은 진행했다고 할때 RCPT 를 하니 현재 서버에 yyy 라는 유저가 없으면 User
unknown 에러를 발생시키고
리턴을 하게 된다.. 그러면서 위와 같은 로그를 기록하게 된다.
이런 로그가 많이 오면 해당 서버로 오는 메일을 reject 시키던지 하는 방안을 강구해야 한다.
로그내용 : sendmail : rejecting connections on port 25 : load average:24
로그분석 :
이는 load average 내용이 24이기 때문에 sendmail의 작동이 정지한다는 로그 기록..
load average는 4이상이면 부하라고 보면된다.
load average 1이란 cpu 하나가 최대한 사용이 되고 있다는 것을 의미한다.
보통 0.5~1.5 정도가 적당한 상태지만 3~4까지는 그래도 견딜만하다..
sendmail 의 경우 load average 설정을 안 했을 경우 기본값 8 이 넘으면 작동이 멈춘다.
해결방안 :
1. 이런 메세지가 뜨는 경우 필요 없는 process를 죽여서 load average를 낮추거나 sendmail.cf 에서
#load average at which we refuse connections
#0 RefuseLa =12
이곳의 주석을 풀어주고 적절한 셋팅을 해 주는 방법도 임시 방법이 될수 있다.
2. 서버의 부하를 거는 서비스를 찾아서 처리 시키는 것이 최고의 방법이다..^^;;
로그내용 : Jul 5 15:53:46 www sendmail[25566]: NOQUEUE: [211.192.74.202] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
로그분석 :
connection은 이루어 졌으나 아무런 data 전송이 발생하지 않을 경우 남는 메세지로, 접속후 패킷이 다운 되었다는 내용임.
(가장 많이 보는 센드메일 로그라고 생각됨)
위의 로그는 25포트를 port scan을 했을때 자주 남는다.. 또는 텔넷(telnet localhost 25) 으로 접속후 바로 quit 해도 위의 로그가 남게 된다..
즉 socket 를 연결한후 아무 동작없이 빠져 나갔을 경우에 남게 되는 것이다..
////////////////////////////////////////////////////////////////////////////////////////
추가
alias database /etc/aliases.db out of date
//aliases파일 업데이트 필요
//aliases파일 업데이트 필요
k9I1VJCU023669: collect: premature EOM: unexpected close
//http://blog.empas.com/wwiww76/15129355참조
Mailbox vulnerable - directory /var/spool/mail must have 1777 protection
//메일박스 권한변경 필요
Oct 18 10:58:52 mail sendmail[24500]: k9I1wWD9024500: <jskim@dasancns.com>... User unknown
//해당계정 없는 경우
//해당계정이 삭제 됐으나 aliases에 남아있는 경우와 다름.(발송자에게 리턴메일 발송됨)
//해당계정 없는 경우
//해당계정이 삭제 됐으나 aliases에 남아있는 경우와 다름.(발송자에게 리턴메일 발송됨)
Relaying denied. IP name lookup failed [221.168.248.160]
//외부로그
//외부로그