On Fri, 24 Jul 2009 10:44:33 +0200, Gyurman Attila <[email protected]> wrote: > Sziasztok! > > Egy sos kérdésem lenne. Van egy hosting szerver, kb 100 domainal, > postfix mta-val. > Tegnap őta folyamatosan próbál kiküldeni e-maileket két .ru domainra. > > több ezer levélről van szó, > amikegyértelműen spam-ek. > A logban annyi látszik, hogy localhosrtról jön az smtp kapcsolat, és a > > feladó a webserverben beállított email cím. > A kérdés az lenne, hogy hogy tudom kideríteni, hogy melyik domain-t > törték fel (vélhetően, mert az ügyfeleink tuti nem szándékosan > küldenek), > illetve hogy melyik php csinálhatja ezt. > > Folyamatosan nyomozok én is a logokban, több infom még nincs. > > Köszi a segítséget: > > Attesz
Nézd végig a php állományokat módosítási / létrehozási idő szerint csökkenő sorrendben, illetve keress bennük az alábbi parancsokra: base64_encode, base64_decode, eval, file_get_contents Ezek elő szoktak fordulni a ferzőzött scriptekben, főleg az első három. Jól nézd meg, hogy tényleg nincs-e a kérdéses fájlban, nálam csinált olyant, hogy az első <?php sorába berakott párszáz szóközt, és utána írta a saját kódját, többször átsikott a szemem rajta, mire egy word-wrapes megnyitásnál észrevettem... Amúgy meg mod_fcgid, mindenki a saját nevében futtatja a scriptjeit, és a maillogból első pillantásra kiderül, hogy ki a ludas. Üdv: ------------------- Kovix _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
