‘サーバトラブル’ カテゴリーのアーカイブ

自宅サーバのメールが使えなくなった。原因はDovecotの設定ファイルが書き換わった?

サーバトラブル | by 管理者
7月 15日 2011 年

自宅サーバをセットアップしたときにメールを使えるようにしていたのですが、いつの間にかメールが使えなくなっており、つい先日まで気づきませんでした。

これがメールを起動したときのエラーメッセージ

Plaintext authentication disallowed on non-secure (SSL/TLS) connections

メッセージを見る限り、平分での通信はダメといっているみたいです。

とくに何も弄った記憶もないし、Dovecotが出しているエラーらしいので、Dovecotの設定ファイル/etc/dovecot.confを見てみると・・・・無い!

/etc/dovecot.confがありません。代わりにdovecot.conf.rpmsaveな名称のファイルがあります。

dovecot.conf.rpmsaveを調査すると、Dovecotがアンインストールされると出来るらしい・・・ってことはアンインストールされた?

以下のコマンドでdovecotを再起動かけると

/etc/rc.d/init.d/dovecot restart

Dovecot Imap を停止中:                                     [  OK  ]
Dovecot Imap を起動中:                                     [  OK  ]

となり、再起動できるのでアンインストールはされていないらしい。

試しにdovecot.confをfindしてみると、こんなところに有りました。

/etc/dovecot/dovecot.conf

見つかったdovecot.confの中身をみると、ずいぶんと短くなりガラっと変わっています。

とりあえず、平分でも使えるように以下の一文を付け加えてdovecotを再起動してみました。

disable_plaintext_auth = no

これで問題なくメールの送受信ができるようになりました。

ところで、いつごろからメールの送受信が出来なくなったのであろうか?

※  ついでに、protocols = imap pop3 lmtpもコメントアウトしました。

Diceが間違ったグローバルIPアドレスでDNSを更新してしまう。・・・おそらく解決した?

サーバトラブル | by 管理者
6月 30日 2011 年

わずか2日前にホームページが見えなくなって直したばかりでしたが、昨日もホームページが見えなくなっていました。

原因は、Diceが検知したグローバルIPアドレスが間違っており、Diceが定期実行されたときに間違ったIPアドレスでDNSを更新してしまったらしい。

Diceでlistコマンドを実行するとイベントの一覧が表示されますが、その中の「ex イベント番号」を実行すると間違ったグローバルIPアドレスでDNSを更新することが分かったので、「setup」を実行して「IP アドレスの検出をテストしますか? (Y/N)」でyを選択したら正しいグローバルIPアドレスが表示されました。

続いて、再度「ex  イベント番号」を実行したところ、正常にDNSのグローバルIPアドレスを更新してくれました。

原因は?です。

前回はDNSのIPアドレスを更新しただけなので、一時的に直ったように見えただけだったのですが、今回はDiceまで修正したので根治したのか?

# ./DiCE/diced

😕
*** 起動オプション ***

diced [-s|-d|-h|-e] [-b] [-l]

-s           起動と同時に開始します
-d           起動と同時にバックグラウンドで開始します
-h           コマンドオプションを表示します
-b           イベント実行時にビープ音を鳴らします
-l           ログを作成します
-e<EventNo>  指定のイベントを実行して終了します
*** コマンド一覧 ***

exit             DiCEを終了します
start            DiCEを開始します
startd           DiCEをバックグラウンドで開始します
setup            DiCEの環境設定を行います
list             登録済のイベント一覧を表示します
add              イベントを追加します
ed[it] <番号>    イベントを編集します
del <番号>       イベントを削除します
en[able] <番号>  イベントを有効にします
dis[able] <番号> イベントを無効にします
ev[ent] <番号>   イベントの情報を表示します
ex[ec] <番号>    イベントを今すぐ実行します
logcr            ログをクリアします

サーバーが改竄された!?chrootkitの誤検知でした。

サーバトラブル | by 管理者
10月 07日 2010 年

サーバから以下のメールが届きました。
「Searching for Suckit rootkit... Warning: /sbin/init INFECTED」

/sbin/initが改竄されているらしいという内容のメールですが、本当に改竄されているのかその調査方法を調べてみたところ、「md5sum /sbin/init」を実行して値を比較すれば良いということが分かりました。
比較するといっても現在使っていないテスト機の中に/sbin/initがあるだけなので、それと比較したところmd5sumどころかタイムスタンプまで違っていました。
そのため、改竄されたと断定して、ハードディスクの初期化、OSを再インストールしてchrootkitをインストールすると、「INFECTED」の文字が・・・、なんじゃコリャ

OSを再インストールして「INFECTED」はありえないので、/sbin/initのタイムスタンプを調べると2010-09-21 22:50 と表示され、インストール前の/sbin/initのタイムスタンプと同じでした。

どうやら自動アップデートした/sbin/initにchrootkitが誤検知していたようでした。
ハードディスクを初期化してしまったため、昨日のバックアップから戻したところ、chkrootkitを実行しても
「Searching for Suckit rootkit... nothing found」とrootkitは検出されなくなりました。

誤検知した/sbin/initと同じはずなんですが、何故なんでしょうか?
とにかく再インストールにならなくて良かった。

Linuxのバックアップとリストアですが、最初から最後まで通して掲載してあるサイトは私が探す限り見つかりませんでした。

当初、Linuxはワンボタンで簡単にリストアできると思いこんでいましたが、実際はすごく複雑で手間がかかります。

自作で作成したこのサーバの特化したリストア手順書を見ながら、リストアしましたが約1時間かかりました。

Linuxを使う=スペシャルな方ばかりなので特に不要ということかもしれませんが、役に立つ方もいると思いますので備忘録程度ですが、バックアップとリストア方法を掲載しようと思います。