# Roundcube mail Anmeldung geht nicht mehr



## vikozo (6. Dez. 2016)

guten Tag
seit heute Mittag 06.12.2016 ca 12:30 geht das Anmelden über Roundcube nicht mehr.
Am Nachmittag gab es eine Meldung das IMAP nicht erreichbar sei.
Jetzt gegen 17:20 kommt die Info
Verbindung zum Speicherserver fehlgeschlagen.

etwa Zeitgleich habe ich im Syslog
dovecot: master: Warning: service(pop3-login): process_limit (100) reached, client connections are being dropped

auch im mail.log mail.warn mail.info mail.err sind keine speziellen Infos aufgefallen, ausser der identischen Info wie im Syslog.

wenn ich ein PS -ax eingeben dann habe ich am Schluss sehr viele Einträge 
32124 ?  S  0:00 dovecot/imap-login
32151 ?  S  0:00 dovecot/imap-login
32180 ?  S  0:00 dovecot/imap-login
32205 ?  S  0:00 dovecot/imap-login
32247 ?  S  0:00 dovecot/imap-login
32361 ?  S  0:00 dovecot/imap-login
32438 ?  S  0:00 dovecot/pop3-login
32439 ?  S  0:00 dovecot/imap-login
32464 ?  S  0:00 dovecot/pop3-login
32465 ?  S  0:00 dovecot/imap-login
32490 ?  S  0:00 dovecot/pop3-login
32491 ?  S  0:00 dovecot/imap-login
32516 ?  S  0:00 dovecot/pop3-login
32517 ?  S  0:00 dovecot/imap-login
32579 ?  S  0:00 dovecot/pop3-login
32580 ?  S  0:00 dovecot/imap-login
32739 ?  S  0:00 dovecot/pop3-login
32740 ?  S  0:00 dovecot/imap-login

Ich könnte wohl einfach den Server rebooten, aber es wäre auch Interessant zu wissen weshalb es nicht geht.
vielen Dank für Feedbacks
gruss
Vinc


----------



## vikozo (6. Dez. 2016)

Seit diesem zeitpunkt sind auch die Processe massiv gestiegen...
zusätzlich ist mir aufgefallen das eine tty1 verbindung war für 3 tage
root  tty1  Fri Dec  2 16:37 - crash (3+13:38)


----------



## florian030 (7. Dez. 2016)

Die Antwort hast Du doch gepostet:
process_limit (100) reached, client connections are being dropped
Du brauchst nicht den ganzen Server neu zu starten, dovecot reicht völlig.


----------



## vikozo (7. Dez. 2016)

@florian030 
danke für dein Feedback, soviele User habe ich gar nicht - also ist etwas böses im spiel - denk ich mal.
nach einem Reboot des Server war es wieder normal, ausser das die anzahl von Mails stieg.


----------



## nowayback (7. Dez. 2016)

Zitat von vikozo:


> nach einem Reboot des Server war es wieder normal, ausser das die anzahl von Mails stieg.


dann ist es nicht normal


----------



## vikozo (7. Dez. 2016)

@nowayback
natürlich hast du Recht, und ab 18:00 06.12.2016 nach dem Reboot begann es zu steigen






mit mailq
habe ich eine Liste mit zum teil komischen email addressen von Menschen/Email die ich nicht kenne (ausser dem  root)
186E3586346  5840 Tue Dec  6 20:07:53  Curtis.Marquis@writeruniter.com
(delivery temporarily suspended: connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
ymail@kozo.ch
15F265863D3  599 Wed Dec  7 11:07:01  root@memoryalpha.kozo.ch
(delivery temporarily suspended: connect to 127.0.0.1[127.0.0.1]:10024: Connection refused)
  root@???????.kozo.ch

Normaler email versand und empfang klappt aber trotzdem
nach einem postqueue -v ist die liste leer und auch die Grafik auf 0
wie kann ich rausfinden, woher der sender kommt?


----------



## florian030 (7. Dez. 2016)

Dann solltest Du mal nach Malware auf Deinem Server fanden. Und vor allem mal amavis starten, wenn Du immer 0024: Connection refused im mail.log hast.


----------



## nowayback (7. Dez. 2016)

nein, nicht amavis starten, und am besten auch noch postfix stoppen... @florian030 bitte... du wolltest ihm jetzt nicht wirklich helfen, dass die ganzen spammails rausgehen oder?

@vikozo 
such wie florian gesagt hat deinen server nach malware ab. solange nimmst du das teil vom netz. wenn fertig und entfernt, dann updates einspielen. irgendwo hast du eine lücke!


----------



## florian030 (7. Dez. 2016)

Wo soll das Problem mit den beiden Mails von da oben sein? Ein reboot löscht nicht die mailqueu von daher ist die Grafik doch eher wenig hilfreich. Wenn ich hier amavis anhalte, habe ich ner Stunde auch locker 1000 mails in der queue. 

Du kannst Dir aber die Mails mit postcat anzeigen lassen. Z.B. postcat -q 186E3586346

Ich nehme zum Scannen immer den ISPProtect Malware Scanner


----------



## nowayback (7. Dez. 2016)

wenn ich die anderen threads  und signatur von ihm lese ist das ne kiste die zuhause rumgammelt, die nie und nimmer soviele imap prozesse laufen haben dürfte. klar gibts auch andere gründe für sowas, aber in der praxis?! 99,9% malware!


----------



## vikozo (7. Dez. 2016)

@nowayback 
das sie zuhause ist ja das sie rumgammelt eher nicht! Alle Updates sind drauf das neueste ispconfig, die neusten Joomla versionen.


> maldet -a /
> Linux Malware Detect v1.5
> (C) 2002-2016, R-fx Networks <proj@rfxn.com>
> (C) 2016, Ryan MacDonald <ryan@rfxn.com>
> ...





> service amavis  status
> ? amavis.service - LSB: Starts amavisd-new mailfilter
> Loaded: loaded (/etc/init.d/amavis)
> Active: active (exited) since Mit 2016-12-07 18:48:28 CET; 3h 24min ago
> ...


----------



## nowayback (7. Dez. 2016)

Zitat von vikozo:


> das sie zuhause ist ja das sie rumgammelt eher nicht!


mit rumgammeln war auch eher gemeint dass das ne kiste ist, die nicht viel zutun haben dürfte weil da keine 150 kunden drauf laufen o.ä.

edit: du darfst ruhig auch mal mit dem scanner von ispconfig testen auch wenns ne mark kostet.


----------



## vikozo (7. Dez. 2016)

mit einem 
nmap -sT localhost
ist mir aufgefallen das Port 10024 nicht gelistet ist
nach einem /etc/init.d/amavis restart ist por 10024 gelistet und nach einer weile nicht mehr.
mit amavis status ist diese Linie in rot
Dez 07 23:21:33 memoryalpha.kozo.ch amavis[6086]: (!!)TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __fop_file_setup:  Retry limit (100) exceeded, File exists. at (eval 91) line 318.


----------



## vikozo (7. Dez. 2016)

gibt es vom 
ispp_scan ein log file unter /var/log hätte ich nichts gesehen


----------



## vikozo (8. Dez. 2016)

ich denke (hoffe) das es keine Malware ist. aber ein error mit Amavis
Amavis läuft ein paar Minuten und dann 
/etc/init.d/amavis Status
gibt es einen fehler und 
Dez 08 09:01:49 memoryalpha.kozo.ch amavis[26032]: (!!)TROUBLE in pre_loop_hook: db_init: BDB no dbS: BDB0002 __f...318.

und auf Port 10024 ist dann kein dienst aktiv


----------



## florian030 (8. Dez. 2016)

Dann lösch doch mal den Cache von Amavis...  rm /var/lib/amavis/db/*   - oder wo auch immer die bei Dir liegt


----------



## vikozo (8. Dez. 2016)

@florian030 
vielen Dank - das hat geholfen. Komischerweise aber nicht beim ersten mal.
jetzt hat amavis auch viele Module nachgeladen mit dem Status kann ich die sehen  und die Emails gehen wieder rein und raus.
nochmals vielen Dank für die Geduld


----------

