On Tue, 2010-02-02 at 17:07 +0700, Andika Triwidada wrote: > 2010/2/2 Nyoman [D] <nyo...@royalperspective.com>: > > Selamat sore rekan-rekan semua > > > > Saya baru saja mendapatkan job secara remote untuk maintenance server > > hosting > > > > Server ini sebelumnya menjadi sumber spam yang menyebabkan IP nya sering > > kena blacklist. Seteleh login dan melihat queue postfixnya ada 48.000 > > dan skr sudah bisa teratasi/hapus > > > > Dilihat dari isi emailnya ternyata ada form mail yang kurang secure > > > > Received: by server.zeninteraktiv.com (Postfix, from userid 48) id > > C28EE1A8817D; Tue, 2 Feb 2010 08:15:38 +0000 > > > > apache:x:48:48:Apache:/var/www:/sbin/nologin > > > > dari header email di atas dan hasil mencocokan isi uid di /etc/passwd > > terlihat yang mengirim email ada user apache > > > > Yang saya tanyakan bagaimana cara cepat untuk mengetahui email itu > > terkirim oleh file yang mana? > > Mengingat banyaknya domain kalau check satu-persatu saya juga kurang > > mengerti bahasa pemrograman termasuk php, jadi saya tidak tahu mana yang > > secure dan nggak > > > > Mestinya entry URL yang di-abuse akan sangat dominan kehadirannya > di log apache. Coba log apache diproses pakai webalizer atau sebangsanya, > lalu dicari URL yang paling sering dikunjungi. Dari situ dipetakan ke > file dan direktori fisik dengan mengacu ke konfigurasi apache. > > Semoga membantu. > > -- > andika >
Akhirnya ketemu juga pak... dengan menggunakan grep POST /var/log/*/access_log (pakai * karena masing-masing domain beda directory) Dari hasil grep di atas dicari url mana yang paling dominan pada saat waktu queue di postfix banyak. Thanks pak, memang butuh kesabaran untuk menulusuri hal-hal yang beginian :D Nyoman
signature.asc
Description: This is a digitally signed message part
