hi jens, mit was mailst du ? welches programm ? hast du da kein log davon ? kannst dadrin nicht greppen ? grüße h1
-----Ursprüngliche Nachricht----- Von: Jens Schwehn [mailto:[EMAIL PROTECTED] Gesendet: Montag, 15. Januar 2007 16:06 An: [email protected] Betreff: Amoklaufendes Script finden Hallo liebe Listenmitglieder, ich habe hier ein mittelschweres Problem und ich weiss nicht wie es sauber lösen soll. Folgendes Szenario: Wir haben hier einen Apache 1.3 inkl. PHP, CGI und einem Haufen VHost (named-based). Heute gegen 7.30 fing die Kiste an wie wild Mails in die weite Welt zu pusten - klassische "injection" durch ein schlecht geschriebenes Script. Nach dem ich jetzt 30000 Mails gelöscht habe und sehr sehr gefrustet bin, möchte ich dem Programmierer des Scriptes mal meine Meinung sagen :) nur mein Problem ist, dass ich nicht einmal die Domain erkennen kann, wo das Script liegt. Ich konnte die Domains schon auf ein paar dutzende einschränken und stecke gerade bis zu den Achseln in Logfiles. Erwarten würde ich, dass ich seitenweise Logeinträge finde, die innerhalb von sehr kurzer Zeit eine URL aufrufen also zB. x.x.x.x - - [05/Jan/2007:11:44:28 +0100] "POST messy.php" ... und das dann 1000 mal direkt hintereinander - aber leider ist das nicht so - zu mindesten bisher noch nicht. Jetzt meine Frage, wie handhabt ihr das? Wie findet ihr heraus, welcher Kunde mit seiner Domain Unsinn macht? Ich habe zwar schon eine Runde im Netz gesucht - aber an Ermangelung an "guten" Begriffen habe ich eher keine Informationen finden können. Jede Anregung und jeder RTFM Pointer ist willkommen. Ach noch was, wir loggen für jeden VHost in eine extra Datei. -- Mit freundlichen Grüßen Jens Schwehn -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] -------------------------------------------------------------------------- -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
