The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Апач, поиск скрипта генерирующего исходящий траф"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (Apache, http-серверы)
Изначальное сообщение [ Отслеживать ]

"Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от Moderatorh email on 24-Май-14, 06:46 
Подскажите плс. как концептуально правильно вычисляется php скрипт, работающий под Apache-itc и генерирующий определенный исходящий запрос? Методы перебора скриптов вкупе с "разделяй и влавствуй" не предлагать. Интересует все же возможность "загнать" в лог действия скриптов, генерирующих исходящие запросы.
Заранее благодарю за помощь.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от Edd (ok) on 24-Май-14, 10:08 
В Апач лог никак.

Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с чем мы работаем, из ваших описаний, это не понятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от Moderatorh email on 24-Май-14, 20:42 
> В Апач лог никак.
> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
> чем мы работаем, из ваших описаний, это не понятно.

Как с чем работаем, с горой сайтов. То есть под апачем итк крутиться гора сайтов, под разными пользователями. То есть в сумме больше 10к файлов php.
Система Centos. Если нужны еще какие то вводные, дайте знать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от universite email(ok) on 25-Май-14, 01:36 
>> В Апач лог никак.
>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>> чем мы работаем, из ваших описаний, это не понятно.
> Как с чем работаем, с горой сайтов. То есть под апачем итк
> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
> 10к файлов php.
> Система Centos. Если нужны еще какие то вводные, дайте знать.

Скрипт на shell-awk легко подсчитает расход траффика по пользователям.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от Moderatorh email on 25-Май-14, 01:45 
>>> В Апач лог никак.
>>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>>> чем мы работаем, из ваших описаний, это не понятно.
>> Как с чем работаем, с горой сайтов. То есть под апачем итк
>> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
>> 10к файлов php.
>> Система Centos. Если нужны еще какие то вводные, дайте знать.
> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.

А это то тут причем?
Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP запросы.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от PavelR (??) on 25-Май-14, 12:43 
>[оверквотинг удален]
>>>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с
>>>> чем мы работаем, из ваших описаний, это не понятно.
>>> Как с чем работаем, с горой сайтов. То есть под апачем итк
>>> крутиться гора сайтов, под разными пользователями. То есть в сумме больше
>>> 10к файлов php.
>>> Система Centos. Если нужны еще какие то вводные, дайте знать.
>> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.
> А это то тут причем?
> Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP
> запросы.

1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут запросы.
2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ.
3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя, анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо полностью либо на исходящие соединения.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от Moderatorh email on 25-Май-14, 16:07 
>[оверквотинг удален]
>>> Скрипт на shell-awk легко подсчитает расход траффика по пользователям.
>> А это то тут причем?
>> Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP
>> запросы.
> 1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут
> запросы.
> 2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ.
> 3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя,
> анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо
> полностью либо на исходящие соединения.

Нужна правильная концепция поиска...
То есть метод логирования исходящих запросов от скриптов, а не решение конкретной задачи в конкретном случае.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от universite email(ok) on 25-Май-14, 18:32 
>>[оверквотинг удален]
> Нужна правильная концепция поиска...
> То есть метод логирования исходящих запросов от скриптов, а не решение конкретной
> задачи в конкретном случае.

У каждого хостера свои шаблоны поиска левых запросов.

У меня их десятка два. После 3-х запросов с 1 IP, этот IP баннятся на сутки.
Потом мне в конце дня шлются отчеты.
Абьюзы бесполезно слать, никто из российских-украинских ДЦ и домашних сетей не реагируют на запросы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Апач, поиск скрипта генерирующего исходящий траф"  +/
Сообщение от PavelR (ok) on 26-Май-14, 08:19 

> Нужна правильная концепция поиска...
> То есть метод логирования исходящих запросов от скриптов, а не решение конкретной
> задачи в конкретном случае.

Ну удачи.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor