On Tue, 2010-02-02 at 17:07 +0700, Andika Triwidada wrote:
2010/2/2 Nyoman [D] nyo...@royalperspective.com:
Selamat sore rekan-rekan semua
Saya baru saja mendapatkan job secara remote untuk maintenance server
hosting
Server ini sebelumnya menjadi sumber spam yang menyebabkan IP nya sering
kena blacklist. Seteleh login dan melihat queue postfixnya ada 48.000
dan skr sudah bisa teratasi/hapus
Dilihat dari isi emailnya ternyata ada form mail yang kurang secure
Received: by server.zeninteraktiv.com (Postfix, from userid 48) id
C28EE1A8817D; Tue, 2 Feb 2010 08:15:38 +
apache:x:48:48:Apache:/var/www:/sbin/nologin
dari header email di atas dan hasil mencocokan isi uid di /etc/passwd
terlihat yang mengirim email ada user apache
Yang saya tanyakan bagaimana cara cepat untuk mengetahui email itu
terkirim oleh file yang mana?
Mengingat banyaknya domain kalau check satu-persatu saya juga kurang
mengerti bahasa pemrograman termasuk php, jadi saya tidak tahu mana yang
secure dan nggak
Mestinya entry URL yang di-abuse akan sangat dominan kehadirannya
di log apache. Coba log apache diproses pakai webalizer atau sebangsanya,
lalu dicari URL yang paling sering dikunjungi. Dari situ dipetakan ke
file dan direktori fisik dengan mengacu ke konfigurasi apache.
Semoga membantu.
--
andika
Akhirnya ketemu juga pak... dengan menggunakan grep
POST /var/log/*/access_log (pakai * karena masing-masing domain beda
directory)
Dari hasil grep di atas dicari url mana yang paling dominan pada saat
waktu queue di postfix banyak.
Thanks pak, memang butuh kesabaran untuk menulusuri hal-hal yang
beginian :D
Nyoman
signature.asc
Description: This is a digitally signed message part