Exim вешает сервер

56

babiy

10 мая 2012, 14:21

7075

Здравствуйте Уважаемые.

Ось Centos 5.8, Exim 4.3.29

Буквально со вчерашнего дня появился баг в виде безконтрольного размножения процессов exim

top - 18:12:11 up 67 days, 22:48,  2 users,  load average: 18.09, 17.19, 15.63

Tasks: 284 total,  17 running, 266 sleeping,   0 stopped,   1 zombie

Cpu(s): 35.5%us, 64.3%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.2%si,  0.0%st

Mem:   8132948k total,  7999532k used,   133416k free,   658368k buffers

Swap:  8193140k total,   196456k used,  7996684k free,  4826628k cached



  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND

19384 root      25   0 77840 3868 3032 R 20.0  0.0   5:33.01 exim

19387 exim      25   0 77844 1832  988 R 20.0  0.0   5:25.68 exim

21034 exim      25   0 77836 1828  988 R 20.0  0.0   3:43.16 exim

23498 root      25   0 77840 3872 3032 R 20.0  0.0   2:51.52 exim

25092 root      25   0 78732 3864 3032 R 20.0  0.0   2:03.83 exim

25574 root      25   0 78732 3860 3032 R 20.0  0.0   1:50.98 exim

26795 root      25   0 77836 3864 3032 S 19.6  0.0   1:36.65 exim

23987 root      25   0 77840 3872 3032 R 17.6  0.0   2:34.00 exim

25102 exim      25   0 78736 1840  996 S 16.3  0.0   2:03.61 exim

20970 root      25   0 77840 3868 3032 S 13.6  0.0   3:47.47 exim

 3570 mysql     15   0  420m  82m 5568 S 13.3  1.0 164:28.41 mysqld

21031 root      25   0 77832 3864 3032 S 13.3  0.0   3:41.17 exim

23508 exim      25   0 77844 1836  988 R 13.3  0.0   2:52.31 exim

 1227 masan928  17   0  453m  67m 3540 R 13.0  0.9   0:00.39 httpd.itk

 1234 veprv828  16   0     0    0    0 R 12.6  0.0   0:00.38 httpd.itk

23996 exim      25   0 77844 1836  988 R  9.6  0.0   2:27.58 exim

25577 exim      25   0 78736 1836  996 S  8.6  0.0   1:50.77 exim

26805 exim      25   0 77840 1828  988 S  6.7  0.0   1:33.12 exim

20975 exim      25   0 77844 1832  988 R  4.7  0.0   3:51.22 exim

перезагрузкой exima процессы не убиваются , только killall -9 exim , причём запускается он потом сам, спама наружу не идёт (проверял сниффером исходящий трафик) , атаки на 25 порт так же нет, lsof по зависшим процессам показует следующее:

COMMAND   PID USER   FD   TYPE             DEVICE      SIZE      NODE NAME

exim    26805 exim  cwd    DIR              253,0      4096    846155 /var/spool/exim

exim    26805 exim  rtd    DIR                8,2      4096         2 /

exim    26805 exim  txt    REG                8,2    951520   6031801 /usr/sbin/exim

exim    26805 exim  mem    REG                8,2    143600   4578564 /lib64/ld-2.5.so

exim    26805 exim  mem    REG                8,2    129984   4578733 /lib64/libpcre.so.0.0.1

exim    26805 exim  mem    REG                8,2     92736   4578596 /lib64/libresolv-2.5.so

exim    26805 exim  mem    REG                8,2    114352   4578883 /lib64/libnsl-2.5.so

exim    26805 exim  mem    REG                8,2     48600   4578777 /lib64/libcrypt-2.5.so

exim    26805 exim  mem    REG                8,2    615136   4578595 /lib64/libm-2.5.so

exim    26805 exim  mem    REG                8,2     37368   4578879 /lib64/libwrap.so.0.7.6

exim    26805 exim  mem    REG                8,2     46800   4578629 /lib64/libpam.so.0.81.5

exim    26805 exim  mem    REG                8,2     23360   4578575 /lib64/libdl-2.5.so

exim    26805 exim  mem    REG                8,2   1008656   4578743 /lib64/libdb-4.3.so

exim    26805 exim  mem    REG                8,2    245488   6024183 /usr/lib64/libldap-2.3.so.0.2.31

exim    26805 exim  mem    REG                8,2     59040   6031235 /usr/lib64/liblber-2.3.so.0.2.31

exim    26805 exim  mem    REG                8,2    375656   6033547 /usr/lib64/libsqlite3.so.0.8.6

exim    26805 exim  mem    REG                8,2   1513968   6312415 /usr/lib64/mysql/libmysqlclient.so.15.0.0

exim    26805 exim  mem    REG                8,2    142824   6032668 /usr/lib64/libpq.so.4.1

exim    26805 exim  mem    REG                8,2   1262416   6124087 /usr/lib64/perl5/5.8.8/x86_64-linux-thread-multi/CORE/libperl.so

exim    26805 exim  mem    REG                8,2     18152   4578625 /lib64/libutil-2.5.so

exim    26805 exim  mem    REG                8,2    145824   4578587 /lib64/libpthread-2.5.so

exim    26805 exim  mem    REG                8,2   1722304   4578571 /lib64/libc-2.5.so

exim    26805 exim  mem    REG                8,2    315080   4578602 /lib64/libssl.so.0.9.8e

exim    26805 exim  mem    REG                8,2   1366304   4578880 /lib64/libcrypto.so.0.9.8e

exim    26805 exim  mem    REG                8,2    105464   6029399 /usr/lib64/libsasl2.so.2.0.22

exim    26805 exim  mem    REG                8,2     98920   4578577 /lib64/libaudit.so.0.0.0

exim    26805 exim  mem    REG                8,2     85544   4578585 /lib64/libz.so.1.2.3

exim    26805 exim  mem    REG                8,2    614088   6034006 /usr/lib64/libkrb5.so.3.3

exim    26805 exim  mem    REG                8,2    190976   6036294 /usr/lib64/libgssapi_krb5.so.2.2

exim    26805 exim  mem    REG                8,2     10096   4578580 /lib64/libcom_err.so.2.1

exim    26805 exim  mem    REG                8,2    153720   6034125 /usr/lib64/libk5crypto.so.3.1

exim    26805 exim  mem    REG                8,2     35984   6025523 /usr/lib64/libkrb5support.so.0.1

exim    26805 exim  mem    REG                8,2      9472   4578887 /lib64/libkeyutils-1.2.so

exim    26805 exim  mem    REG                8,2     95464   4578762 /lib64/libselinux.so.1

exim    26805 exim  mem    REG                8,2    247496   4578613 /lib64/libsepol.so.1

exim    26805 exim  mem    REG                8,2     53880   4578586 /lib64/libnss_files-2.5.so

exim    26805 exim    0u   CHR                1,3                2598 /dev/null

exim    26805 exim    1u   CHR                1,3                2598 /dev/null

exim    26805 exim    2u   CHR                1,3                2598 /dev/null

exim    26805 exim    3u  IPv4          336360715                 TCP *:webcache (LISTEN)

exim    26805 exim    4u  IPv4          336361264                 TCP *:https (LISTEN)

exim    26805 exim    5r  FIFO                0,6           345164537 pipe

exim    26805 exim    6w  FIFO                0,6           345164537 pipe

exim    26805 exim    7w   REG              253,0     21163   2408397 /var/log/httpd/ssl_error_log



exim    26805 exim    8w   REG              253,3         0   8290310 /var/www/httpd-logs/



зачем то открывает все файлы логов апача....



...........



exim    26805 exim 1073w   REG                8,2   1559578   6313176 /usr/local/ispmgr/var/httpd-acct.log

exim    26805 exim 1074u   REG                8,5         0     96092 /tmp/ZCUDuQWNC2 (deleted)

exim    26805 exim 1075u   REG                8,5         0     96096 /tmp/.xcache.0.0.679410115.lock (deleted)

exim    26805 exim 1076u   REG                8,5         0     96097 /tmp/.xcache.0.1.1388896747.lock (deleted)

exim    26805 exim 1077u   REG                8,5         0     96098 /tmp/.xcache.0.2.1906502090.lock (deleted)

exim    26805 exim 1078u   REG                8,5         0     96099 /tmp/.xcache.0.3.1109350969.lock (deleted)

exim    26805 exim 1079r  0000               0,11         0 345164910 eventpoll

exim    26805 exim 1080u  sock                0,5           345227589 can't identify protocol

exim    26805 exim 1081u  unix 0xffff810024449a00           345227591 socket

exim    26805 exim 1082w   REG              253,0        77    846417 /var/spool/exim/msglog/1SSTxz-0006yA-J7

exim    26805 exim 1083w   REG              253,0         0    846418 /var/spool/exim/input/1SSTxz-0006yA-J7-J

exim    26805 exim 1084r   REG                8,2      2119   2322301 /etc/exim/domainips

exim    26805 exim 1085w  FIFO                0,6           345227651 pipe

exim    26805 exim 1086u  IPv4          345227655                 TCP isp.dobrohost.net:40717->mx5.ks.pochta.ru:smtp (CLOSE_WAIT)

просматриваем письма на которых зависли

[root@isp run]# cat /var/spool/exim/input/1SSTxz-0006yA-J7-J

[root@isp run]#

[root@isp run]# cat /var/spool/exim/msglog/1SSTxz-0006yA-J7

2012-05-10 18:03:39 Received from ххххх@хххххх U=ххххх P=local S=17239

[root@isp run]#

то есть виснет в случае если письмо пустое

какие будут советы как побороть напасть?

---------- Post added 10-05-2012 at 18:27 ----------

в логе main.log по данному письму есть следующая запись

2012-05-10 18:03:39 1SSTxz-0006yA-J7 <= ххххх@хххххх.хх U=ххххх P=local S=17239 from <хххххх@хххххх.хх> for white-host@qip.ru

2012-05-10 18:09:18 SIGINT received while reading local message

Globatel.ru (http://globatel.ru) - надежные услуги на базе собственного ДЦ. Хостинг (http://globatel.ru/hosting/), VDS на базе KVM (http://globatel.ru/vps/), Dedicated (http://globatel.ru/dedicated/) ICQ 6485890, т. 8 (495) 706-49-49

M

235

madoff

10 мая 2012, 14:47

#1

exim -d

exim -bpc вывод

lsof -p PID

Администратор Linux,Freebsd. построения крупных проектов.

56

babiy

10 мая 2012, 14:59

#2

[root@isp input]# exim -d
Exim version 4.63 uid=0 gid=0 pid=16269 D=fbb95cfd
Berkeley DB: Sleepycat Software: Berkeley DB 4.3.29: (July 12, 2010)
Support for: crypteq iconv() IPv6 PAM Perl TCPwrappers OpenSSL Content_Scanning Old_Demime
Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dnsdb dsearch ldap ldapdn ldapm mysql nis nis0 nisplus passwd pgsql sqlite
Authenticators: cram_md5 cyrus_sasl plaintext spa
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp
Fixed never_users: 0
Size of off_t: 8
changed uid/gid: forcing real = effective
uid=0 gid=0 pid=16269
auxiliary group list: <none>
seeking password data for user "apache": cache not available
getpwnam() succeeded uid=48 gid=48
seeking password data for user "exim": cache not available
getpwnam() succeeded uid=93 gid=93
seeking password data for user "root": cache not available
getpwnam() succeeded uid=0 gid=0
configuration file is /etc/exim/exim.conf
log selectors = 0000cffe 00199c01
cwd=/var/spool/exim/input 2 args: exim -d
trusted user
admin user
changed uid/gid: privilege not needed
uid=93 gid=93 pid=16269
auxiliary group list: 12 93
Cyrus SASL knows about: CRAM-MD5
Cyrus SASL driver cram: CRAM-MD5 initialised
Cyrus SASL knows about: PLAIN
Cyrus SASL driver plain: PLAIN initialised
Cyrus SASL knows about: LOGIN
Cyrus SASL driver login: LOGIN initialised
originator: uid=0 gid=0 login=root name=root
sender address = root@isp.dobrohost.net
Exim is a Mail Transfer Agent. It is normally called by Mail User Agents,
not directly from a shell command line. Options and/or arguments control
what it does when called. For a list of options, see the Exim documentation.
[root@isp input]#

[root@isp input]# exim -bpc
29
[root@isp input]#

lsof показан выше

M

235

madoff

10 мая 2012, 15:02

#3

У вас swap срабатывает ? может вся причина в окончании памяти ?

56

babiy

10 мая 2012, 15:04

#4

madoff:
У вас swap срабатывает ? может вся причина в окончании памяти ?

Срабатывает причина точно не в этом

---------- Post added 10-05-2012 at 19:11 ----------

эти процессы больше садят CPU так как под утро сегодня когда нагиос отрапартовал о падении LA был более 500

822

Andreyka

10 мая 2012, 17:21

#5

Ненастроен exim, сразу видно

Вот и грузит

Не стоит плодить сущности без необходимости

56

babiy

10 мая 2012, 18:49

#6

Andreyka:
Ненастроен exim, сразу видно
Вот и грузит

))) два года с этим конфигом не грузил а тут вдруг не настроен стал, Вы бы лучше предложения подкинули , какие параметры глянуть....

M

235

madoff

10 мая 2012, 20:11

#7

Дай в ЛС доступы в месте глянем.

P

7

prftc

10 мая 2012, 20:38

#8

имхо exim всё-таки стоит для начала обновить до актуальной для центоси 5.8 версии. кажется, это сейчас exim 4.63

822

Andreyka

10 мая 2012, 23:31

#9

babiy:

))) два года с этим конфигом не грузил а тут вдруг не настроен стал, Вы бы лучше предложения подкинули , какие параметры глянуть....

Запущенная болезнь может ждать два года, а потом убить больного

Глянуть надо документацию на exim, разумеется

M

173

michaek

11 мая 2012, 05:14

#10

prftc:
имхо exim всё-таки стоит для начала обновить до актуальной для центоси 5.8 версии. кажется, это сейчас exim 4.63

а у тс разве какая-то другая версия?

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

Google: E-E-A-T не является фактором ранжирования