Bei der Überprügung von offenen Verbindungen auf diversen Plesk 10 Servern (Linux), konnten wir feststellen das hunderte - teilweise sogar tausende - offene interne Verbindung über die Plesk Engine zu Port 25 generiert wurden.

Für die Überprüfung nutzen wir den Befehl netstat -ntup auf der Linux Konsole. Darauf hin wurden uns folgende Verbindungen angezeigt:

tcp       23      0 127.0.0.1:40212             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40407             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40389             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40436             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40438             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40326             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40353             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40358             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40016             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
tcp       38      0 127.0.0.1:40005             127.0.0.1:25                CLOSE_WAIT  5855/sw-engine
CODE

Durch die Erweiterung des nestat Befehls mit folgende Zeichenkette konnten wir die Anzahl der offenen Verbindungen je IP-Adresse eingrenzen:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Ausgabe:

1271 127.0.0.1
     19 92.73.131.x
     17 84.62.24.x
     15 87.123.56.x
     15 217.67.37.x
     12 84.60.21.x
     12 80.142.158.x
      8 82.149.102.x
      7 87.139.94.x
      6 80.187.96.x
      6 137.226.212.x
      5 141.20.61.x
      3 212.149.48.x
      2 80.141.144.x
      2 66.249.72.x
      2 217.6.119.x
      2 207.46.199.x
      2 207.46.192.x
      2 207.46.13.x
      1 Address
      1 83.136.81.x
      1 66.249.71.x
      1 65.52.110.x
      1 46.20.47.x
      1 213.178.72.x
      1 207.46.13.x
      1 176.4.165.x
CODE

Eine erweiterte Analyse anhand der Prozess ID (lsof -p 5855), brachte uns dann schnell auf den mit Plesk 10 neu eingeführten Health Monitor, welcher ursprünglich das eigene Serversystem auf Ausnutzung hin prüfen sollte. Das dafür zuständige Paket psa-health-monitor-10.11.0-rhel5.build1011110330.18 konnte mit dem Befehl rpm -e psa-health-monitor-10.11.0-rhel5.build1011110330.18 ohne weitere Probleme vom Server entfernt werden. Nach erfolgreicher Deinstallation reduzierte sich die Anzahl der offenen internen Verbindungen drastisch.

HINWEIS:

Da je nach Server Distribution und Version der Paketname unterschiedlichlich sein kann, empfiehlt sich die Suche nach dem Paketnamen mit folgenden Befehlsketten:  rpm -qa | grep health oder rpm -qa | grep psa