проблема с inetinfo.exe
Модератор: Модераторы
Сообщений: 6
• Страница 1 из 1
Dmitryvok » 07 фев 2006, 18:19
Сразу скажу использовал ПОИСК - нашел несколько похожих тем - ни в одной не было ответа на МОЮ проблему. Создал новую - может кто поможет.
Есть сервер win2000 sp4 + AD + Exchange2000 sp3
в качестве спамфильтра на почтовике - GFI, антивирус - symantec
уже почти неделю мучаюсь со следующей проблемой:
примерно на 80% загружается процессор процессом inetinfo.exe
процесс этот IIS-а, из служб работает только SMTP и именно его inetinfo и использует для рассылки писем (спама) на случайные адреса.
Очередь в exchange сервере - сотни две различных доменов
никаких вирусов на сервере не нашел, были сообщения о находке вирусов в письмах внутренним пользователям, но на самом сервере нет клиента и письма на нем не читаются.
с помощью filemon определил: Inetinfo постоянно обращается к файлам логов GFI и к очереди exchange.
завершение процесса inetinfo.exe и остановка SMTP проблему конечно же не решает, при старте ситуация повторяется - происходит массовая рассылка писем с сервера.
Поиск решения на других форумах, поисковых системах ни к чему не привел, много советов -но ни одного, который сработал бы
ЗАРАНЕЕ БЛАГОДАРЕН, ЕСЛИ УДАСТСЯ РЕШИТЬ ПРОБЛЕМУ С ВАШЕЙ ПОМОЩЬЮ!
кстати, в логах пишет следующее:
В систем:
Virtual Server 1: 59.39.244.86 (или другие адреса) maximum number of connections has been reached. Connection being closed.
и больше ничего отличного от этого. размер логов так быстро превышает максимальное и затирается что не успеваю уследить
В апп:
сообщения exchange о невозможности отправки писем на удаленный домен (и далее имя дамена) - таких сообщений очень много- в минуту несколько десятков
Есть сервер win2000 sp4 + AD + Exchange2000 sp3
в качестве спамфильтра на почтовике - GFI, антивирус - symantec
уже почти неделю мучаюсь со следующей проблемой:
примерно на 80% загружается процессор процессом inetinfo.exe
процесс этот IIS-а, из служб работает только SMTP и именно его inetinfo и использует для рассылки писем (спама) на случайные адреса.
Очередь в exchange сервере - сотни две различных доменов
никаких вирусов на сервере не нашел, были сообщения о находке вирусов в письмах внутренним пользователям, но на самом сервере нет клиента и письма на нем не читаются.
с помощью filemon определил: Inetinfo постоянно обращается к файлам логов GFI и к очереди exchange.
завершение процесса inetinfo.exe и остановка SMTP проблему конечно же не решает, при старте ситуация повторяется - происходит массовая рассылка писем с сервера.
Поиск решения на других форумах, поисковых системах ни к чему не привел, много советов -но ни одного, который сработал бы
ЗАРАНЕЕ БЛАГОДАРЕН, ЕСЛИ УДАСТСЯ РЕШИТЬ ПРОБЛЕМУ С ВАШЕЙ ПОМОЩЬЮ!
кстати, в логах пишет следующее:
В систем:
Virtual Server 1: 59.39.244.86 (или другие адреса) maximum number of connections has been reached. Connection being closed.
и больше ничего отличного от этого. размер логов так быстро превышает максимальное и затирается что не успеваю уследить
В апп:
сообщения exchange о невозможности отправки писем на удаленный домен (и далее имя дамена) - таких сообщений очень много- в минуту несколько десятков
GifteD » 07 фев 2006, 20:30
Сделай стандартную проверку на open relay как в прикрепленной теме.
На сайте статья по установке Exchange, сверься по настройкам безопасности.
На сайте статья по установке Exchange, сверься по настройкам безопасности.
Dmitryvok » 08 фев 2006, 09:47
| Цитата (GifteD @ 7.02.2006 - 19:30) |
| Сделай стандартную проверку на open relay как в прикрепленной теме.
На сайте статья по установке Exchange, сверься по настройкам безопасности. [/quote] в прикрепленной теме?? не нашел такую
по поводу настройки безопасности - все сделано как было сказано в одной из тем, - никакого результата кроме уменьшения загрузки процессора inetinfo.exe-м. теперь примерно 40% выросло количество очередей еще примерно на сотню 
хотя файлов *.eml в папке ...\vsi\queue\ не очень много - колеблется от 10 до 30 еще один вопрос: как очистить очередь в exchange?
сделал проверку с сайта http://members.iinet.net.au/~remmie/relay/
вот результат Open Relay Test Results Default domain is staff.iinet.net.au Connecting to х.х.х.х ... FAILURE Unfortunately the program failed because... Open socket failed сделал стандартную проверку описанную тут http://www.msexchange.org/tutorials/MF005.html все ок Open Relay запрещен .... проблема не исчезает
сделал проверку на open relay с других сайтов - relay запрещен
НО... проверка с http://www.abuse.net/cgi-bin/relaytest в 7 тестах сказала - все ок, а вот в восьмом: Relay test 8 >>> RSET <<< 250 2.0.0 Resetting >>> MAIL FROM:<spamtest@[х.х.х.х]> <<< 250 2.1.0 spamtest@[х.х.х.х]....Sender OK >>> RCPT TO:<"securitytest@abuse.net"> <<< 250 2.1.5 "securitytest@abuse.net"@мойдомен.ru Relay test result Hmmn, at first glance, host appeared to accept a message for relay. THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY. Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not. You cannot tell if it is really an open relay without sending a test message; this anonymous user test DID NOT send a test message. Сейчас по логам вижу идет проверка с ordb.org так вот все письма где адреса ТО: похожи на "securitytest@abuse.net"@мойдомен.ru , то есть то что до "собаки" идет в кавычках - ОНИ ПРОЛЕТАЮТ, то есть релай срабатывает
вопрос: есть ли возможность запретить подобные адреса в exchange или спамфильтре gfi? и еще забыл сказать: вся почта (спам) отсылается от имени postmaster@мойдомен.ru может можно запретить отсылку почты с этого адреса? если да, то как?
Очень похоже на разговор с самим собой
Для тех, кому интересно: проблема решена (во всяком случае мой сервак теперь больше не open relay - доказано ordb.org ) спам от меня больше не идет, inetinfo ведет себя спокойно, загрузка процессора спала до нормальных показателей. теперь о том, что было сделано перекрыл open relay на exchange - сдел все как было советовано. ужесточил контроль на спамфильтре (gfi) - непосредственно на мою проблему это не подействовало, но все равно ужесточил
на файрволе заблокировал 3 подсети откуда в течение всей недели меня забрасывали (до 200 и более пакетов в день) большими icmp пакетами (Large ICMP packet). Не знаю связано ли это каким-либо образом с рассылкой через меня спама, все настройки (почтовика, антиспама и файрвола) были сделаны практически одновременно), но из нета доставать меня перестали. быстрого способа очистить очередь в exchange я не нашел, но избавиться от нее - практически избавился. В самый пик было почти 700 очередей, после проведенных вышеуказанных процедур количество очередей стало спадать - примерно на 100 в час. Параллельно чтоб ускорить удаление очередей удалял письма (вручную из каждой очереди - вот это был секс! ) и тормозил очереди (проделать то же с несколькими очередями одновременно не позволяет сам эксчендж) После того как у них интекало время отведенное на retry - очередь ликвирдировалась. Сегодня к утру их было всего 50 - и ни в одной из них не было ожидающих писем.
Письма сейчас отправляются только на "правильные" адреса. ordb - признали меня свободным от open relay и удалили из своей базы. вот так.
Сообщений: 6
• Страница 1 из 1
Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18 |