https://www.opennet.me/openforum/vsluhforumID8/6147.html Всем доброго времени суток.<br><br>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, на которые идет спам, результата не принес.<br><br>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#9 Tue, 13 Jan 2009 08:45:07 GMT Пропатчил версию php 5.2.6. К сожалению, готового патча нет, так что пришлось править руками.<br><br>Появляется возможность использовать две новые директивы:<br><br>; Add X-PHP-Originaiting-Script: that will include uid of the script followed by the filename<br>mail.add_x_header = Off<br><br>; Log all mail() calls including the full path of the script, line #, to address and headers<br>mail.log =<br><br><br>В результате, ведется полный лог использования функции mail(). Директиву можно использовать как глобально, так и индивидуально для каждого хоста.<br><br>Существенный минус - это, что mail.log пишется с правами web сервера, поэтому нуно дать на него права на запись и добавить в open_basedir, но это уже лучше, чем ничего.<br><br>Можно рекомендовать к использованию.<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#8 Sun, 11 Jan 2009 10:34:00 GMT &gt;http://www.opennet.ru/opennews/art.shtml?num=19720 <br><br>Спасибо!<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#7 Sun, 11 Jan 2009 07:39:50 GMT &gt;Всем доброго времени суток. <br>&gt;<br>&gt;Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, <br>&gt;предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с <br>&gt;какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, <br>&gt;на которые идет спам, результата не принес. <br>&gt;<br>&gt;Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? <br><br>http://www.opennet.ru/opennews/art.shtml?num=19720<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#6 Wed, 07 Jan 2009 07:47:44 GMT &gt;ну например самое простое воспользоваться awk grep uniq sort и тд <br><br>Можно в Ваш список добавить еще sed и perl, но это лишь названия программ.<br>Вы бы скрипт привели для примера.<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#5 Wed, 07 Jan 2009 07:43:19 GMT Появилась идея, как бороться с web спамерами.<br><br>1-й способ - запустить интерактивный мониторинг через Apache /server-status с директивой 'ExtendedStatus On' после того, как очередь писем превысит определенный baseline, например, 100 писем.<br><br>2-й способ - если атакующий использует одно соединение, то, теоретически, должен помочь Apache mod_evasive. Нужно только ловить в syslog его сообщения, и потом искать обращаения с найденного ip адреса в access.log<br><br>3-й способ - если атакующий использует несколько соединение, то, теоретически, должен помочь Apache mod_security с директивой 'SecGuardianLog' + http_guardian. Нужно только ловить в syslog его сообщения, и потом искать общаения с найденного ip адреса в access.log<br><br>Это все теория, надо пробовать на практике.<br><br>Идеи, замечания?<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#4 Tue, 06 Jan 2009 20:21:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt;как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и <br>&gt;&gt;тому же урлу <br>&gt;&gt;(или урлу у которого варьируются пеерменные). <br>&gt;<br>&gt;Что именно Вам непонятно? <br>&gt;Все казалось бы просто... вот только, чем "смотреть логи апача на предмет <br>&gt;постоянного обращения по одному и тому же урлу"? <br>&gt;<br>&gt;<br>&gt;Существуют ли системы обнаружения подобных спамерских атак? <br><br>ну например самое простое воспользоваться awk grep uniq sort и тд<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#3 Tue, 06 Jan 2009 18:40:56 GMT &gt;OS?<br><br>ОС Linux.<br><br><br>&gt;[оверквотинг удален]<br>&gt;&gt;какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, <br>&gt;&gt;на которые идет спам, результата не принес. <br>&gt;&gt;<br>&gt;&gt;Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? <br>&gt;<br>&gt;мда все очень внятно и подробно изложил )) <br>&gt;<br>&gt;как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и <br>&gt;тому же урлу <br>&gt;(или урлу у которого варьируются пеерменные). <br><br>Что именно Вам непонятно? <br>Все казалось бы просто... вот только, чем "смотреть логи апача на предмет постоянного обращения по одному и тому же урлу"?<br><br><br>Существуют ли системы обнаружения подобных спамерских атак?<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#2 Tue, 06 Jan 2009 16:34:35 GMT &gt;Всем доброго времени суток. <br>&gt;<br>&gt;Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, <br>&gt;предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с <br>&gt;какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, <br>&gt;на которые идет спам, результата не принес. <br>&gt;<br>&gt;Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? <br><br>мда все очень внятно и подробно изложил ))<br><br>как вариант смотреть логи апача на предмет постоянного обращения по одному и тому же урлу<br>(или урлу у которого варьируются пеерменные).<br> https://www.opennet.me/openforum/vsluhforumID8/6147.html#1 Tue, 06 Jan 2009 15:35:24 GMT &gt;Всем доброго времени суток. <br>&gt;<br>&gt;Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, <br>&gt;предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с <br>&gt;какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, <br>&gt;на которые идет спам, результата не принес. <br>&gt;<br>&gt;Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? <br><br>OS?<br>