The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обнаружена рассылки спама на хостинг сервере"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 06-Янв-09, 13:37 
Всем доброго времени суток.

Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, на которые идет спам, результата не принес.

Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от bibi on 06-Янв-09, 18:35 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

OS?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Pahanivo email(??) on 06-Янв-09, 19:34 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

мда все очень внятно и подробно изложил ))

как вариант смотреть логи апача на предмет постоянного обращения по одному и тому же урлу
(или урлу у которого варьируются пеерменные).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 06-Янв-09, 21:40 
>OS?

ОС Linux.


>[оверквотинг удален]
>>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>>на которые идет спам, результата не принес.
>>
>>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
>
>мда все очень внятно и подробно изложил ))
>
>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>тому же урлу
>(или урлу у которого варьируются пеерменные).

Что именно Вам непонятно?
Все казалось бы просто... вот только, чем "смотреть логи апача на предмет постоянного обращения по одному и тому же урлу"?


Существуют ли системы обнаружения подобных спамерских атак?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Pahanivo email(??) on 06-Янв-09, 23:21 
>[оверквотинг удален]
>>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>>тому же урлу
>>(или урлу у которого варьируются пеерменные).
>
>Что именно Вам непонятно?
>Все казалось бы просто... вот только, чем "смотреть логи апача на предмет
>постоянного обращения по одному и тому же урлу"?
>
>
>Существуют ли системы обнаружения подобных спамерских атак?

ну например самое простое воспользоваться awk grep uniq sort и тд

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 07-Янв-09, 10:47 
>ну например самое простое воспользоваться awk grep uniq sort и тд

Можно в Ваш список добавить еще sed и perl, но это лишь названия программ.
Вы бы скрипт привели для примера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 07-Янв-09, 10:43 
Появилась идея, как бороться с web спамерами.

1-й способ - запустить интерактивный мониторинг через Apache /server-status с директивой 'ExtendedStatus On' после того, как очередь писем превысит определенный baseline, например, 100 писем.

2-й способ - если атакующий использует одно соединение, то, теоретически, должен помочь Apache mod_evasive. Нужно только ловить в syslog его сообщения, и потом искать обращаения с найденного ip адреса в access.log

3-й способ - если атакующий использует несколько соединение, то, теоретически, должен помочь Apache mod_security с директивой 'SecGuardianLog' + http_guardian. Нужно только ловить в syslog его сообщения, и потом искать общаения с найденного ip адреса в access.log

Это все теория, надо пробовать на практике.

Идеи, замечания?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aquarius (ok) on 11-Янв-09, 10:39 
>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?

https://www.opennet.ru/opennews/art.shtml?num=19720

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 11-Янв-09, 13:34 
>https://www.opennet.ru/opennews/art.shtml?num=19720

Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Обнаружена рассылки спама на хостинг сервере"  
Сообщение от Aleksey (??) on 13-Янв-09, 11:45 
Пропатчил версию php 5.2.6. К сожалению, готового патча нет, так что пришлось править руками.

Появляется возможность использовать две новые директивы:

; Add X-PHP-Originaiting-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off

; Log all mail() calls including the full path of the script, line #, to address and headers
mail.log =


В результате, ведется полный лог использования функции mail(). Директиву можно использовать как глобально, так и индивидуально для каждого хоста.

Существенный минус - это, что mail.log пишется с правами web сервера, поэтому нуно дать на него права на запись и добавить в open_basedir, но это уже лучше, чем ничего.

Можно рекомендовать к использованию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру