Подскажите плс. как концептуально правильно вычисляется php скрипт, работающий под Apache-itc и генерирующий определенный исходящий запрос? Методы перебора скриптов вкупе с "разделяй и влавствуй" не предлагать. Интересует все же возможность "загнать" в лог действия скриптов, генерирующих исходящие запросы.
Заранее благодарю за помощь.
В Апач лог никак.Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с чем мы работаем, из ваших описаний, это не понятно.
> В Апач лог никак.
> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
> чем мы работаем, из ваших описаний, это не понятно.Как с чем работаем, с горой сайтов. То есть под апачем итк крутиться гора сайтов, под разными пользователями. То есть в сумме больше 10к файлов php.
Система Centos. Если нужны еще какие то вводные, дайте знать.
>> В Апач лог никак.
>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>> чем мы работаем, из ваших описаний, это не понятно.
> Как с чем работаем, с горой сайтов. То есть под апачем итк
> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
> 10к файлов php.
> Система Centos. Если нужны еще какие то вводные, дайте знать.Скрипт на shell-awk легко подсчитает расход траффика по пользователям.
>>> В Апач лог никак.
>>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>>> чем мы работаем, из ваших описаний, это не понятно.
>> Как с чем работаем, с горой сайтов. То есть под апачем итк
>> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
>> 10к файлов php.
>> Система Centos. Если нужны еще какие то вводные, дайте знать.
> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.А это то тут причем?
Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP запросы.
>[оверквотинг удален]
>>>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>>>> чем мы работаем, из ваших описаний, это не понятно.
>>> Как с чем работаем, с горой сайтов. То есть под апачем итк
>>> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
>>> 10к файлов php.
>>> Система Centos. Если нужны еще какие то вводные, дайте знать.
>> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.
> А это то тут причем?
> Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP
> запросы.1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут запросы.
2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ.
3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя, анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо полностью либо на исходящие соединения.
>[оверквотинг удален]
>>> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.
>> А это то тут причем?
>> Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP
>> запросы.
> 1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут
> запросы.
> 2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ.
> 3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя,
> анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо
> полностью либо на исходящие соединения.Нужна правильная концепция поиска...
То есть метод логирования исходящих запросов от скриптов, а не решение конкретной задачи в конкретном случае.
>>[оверквотинг удален]
> Нужна правильная концепция поиска...
> То есть метод логирования исходящих запросов от скриптов, а не решение конкретной
> задачи в конкретном случае.У каждого хостера свои шаблоны поиска левых запросов.
У меня их десятка два. После 3-х запросов с 1 IP, этот IP баннятся на сутки.
Потом мне в конце дня шлются отчеты.
Абьюзы бесполезно слать, никто из российских-украинских ДЦ и домашних сетей не реагируют на запросы.
> Нужна правильная концепция поиска...
> То есть метод логирования исходящих запросов от скриптов, а не решение конкретной
> задачи в конкретном случае.Ну удачи.