URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 6147
[ Назад ]
Исходное сообщение
"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 06-Янв-09 13:37 
Всем доброго времени суток.

Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, на которые идет спам, результата не принес.

Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

Содержание
Сообщения в этом обсуждении
"Обнаружена рассылки спама на хостинг сервере"
Отправлено bibi , 06-Янв-09 18:35 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

OS?

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Pahanivo , 06-Янв-09 19:34 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

мда все очень внятно и подробно изложил ))

как вариант смотреть логи апача на предмет постоянного обращения по одному и тому же урлу
(или урлу у которого варьируются пеерменные).

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 06-Янв-09 21:40 
>OS?

ОС Linux.


>[оверквотинг удален]
>>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>>на которые идет спам, результата не принес.
>>
>>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
>
>мда все очень внятно и подробно изложил ))
>
>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>тому же урлу
>(или урлу у которого варьируются пеерменные).

Что именно Вам непонятно?
Все казалось бы просто... вот только, чем "смотреть логи апача на предмет постоянного обращения по одному и тому же урлу"?


Существуют ли системы обнаружения подобных спамерских атак?

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Pahanivo , 06-Янв-09 23:21 
>[оверквотинг удален]
>>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>>тому же урлу
>>(или урлу у которого варьируются пеерменные).
>
>Что именно Вам непонятно?
>Все казалось бы просто... вот только, чем "смотреть логи апача на предмет
>постоянного обращения по одному и тому же урлу"?
>
>
>Существуют ли системы обнаружения подобных спамерских атак?

ну например самое простое воспользоваться awk grep uniq sort и тд

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 07-Янв-09 10:47 
>ну например самое простое воспользоваться awk grep uniq sort и тд

Можно в Ваш список добавить еще sed и perl, но это лишь названия программ.
Вы бы скрипт привели для примера.

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 07-Янв-09 10:43 
Появилась идея, как бороться с web спамерами.

1-й способ - запустить интерактивный мониторинг через Apache /server-status с директивой 'ExtendedStatus On' после того, как очередь писем превысит определенный baseline, например, 100 писем.

2-й способ - если атакующий использует одно соединение, то, теоретически, должен помочь Apache mod_evasive. Нужно только ловить в syslog его сообщения, и потом искать обращаения с найденного ip адреса в access.log

3-й способ - если атакующий использует несколько соединение, то, теоретически, должен помочь Apache mod_security с директивой 'SecGuardianLog' + http_guardian. Нужно только ловить в syslog его сообщения, и потом искать общаения с найденного ip адреса в access.log

Это все теория, надо пробовать на практике.

Идеи, замечания?

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aquarius , 11-Янв-09 10:39 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

http://www.opennet.me/opennews/art.shtml?num=19720

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 11-Янв-09 13:34 
>http://www.opennet.me/opennews/art.shtml?num=19720

Спасибо!

"Обнаружена рассылки спама на хостинг сервере"
Отправлено Aleksey , 13-Янв-09 11:45 
Пропатчил версию php 5.2.6. К сожалению, готового патча нет, так что пришлось править руками.

Появляется возможность использовать две новые директивы:

; Add X-PHP-Originaiting-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off

; Log all mail() calls including the full path of the script, line #, to address and headers
mail.log =


В результате, ведется полный лог использования функции mail(). Директиву можно использовать как глобально, так и индивидуально для каждого хоста.

Существенный минус - это, что mail.log пишется с правами web сервера, поэтому нуно дать на него права на запись и добавить в open_basedir, но это уже лучше, чем ничего.

Можно рекомендовать к использованию.