csiebert Geschrieben 8. April 2008 Geschrieben 8. April 2008 moin! ich habe da ein problemchen... mailqueue vom postfix hatte so an die 4500 mails, was mich verwunderte und mal motiviert hat, die mailqueue zu checken. alles mails, die drin waren, waren offenbar spams, die über ein php-script abgeschickt wurden. absender ist wwwrun gewesen. meine frage: gibt es anhand der logs (vom apache?) eine möglichkeit, herauszufinden, welches script das war? über den user komm ich ja nicht wirklich weiter, da das ja der vom apache ist... bin für jeden tipp dankbar mfg, chris Zitieren
geloescht_JesterDay Geschrieben 9. April 2008 Geschrieben 9. April 2008 meine frage: gibt es anhand der logs (vom apache?) eine möglichkeit, herauszufinden, welches script das war? über den user komm ich ja nicht wirklich weiter, da das ja der vom apache ist... bin für jeden tipp dankbar Also direkt nicht. Was du tun könntest wäre, dir die Zeit einer dieser Spammails ansehen, also wann die erstellt wurde, und dann dir das Skript (oder die Skripte, kenne ja die Auslasstung deines Servers nicht) mal genauer anzusehen (suchen in der access-log), was zu der Zeit aufgerufen wurde bzw von diesem Zeitpunkt an rückwärts bis du eines hast was passen könnte. Das setzt allerdings vorraus, dass PHP nur über den Apache läuft und die CLI Version nciht aktiviert ist. Ob man das bei allen Distributionen tun kann weiß ich so jetzt gar nicht, kenn das nur von Debian, wo es ein extra Paket PHP-CLI gibt ohne dass der Aufruf aus der Shell z.B. nicht geht. Naja, ok... wenn der Benutzer wwwrun ist (dann tip ich auch mal auf SuSe) wird das wohl so sein. Zitieren
csiebert Geschrieben 9. April 2008 Autor Geschrieben 9. April 2008 thx für die antwort. genau das hab ich befürchtet und gestern auch versucht, aber bei 4500 einträgen sehr müssig ;-) jop, ist sles 9 soweit ich weiß. naja, dann hilft das wohl alles nichts, muss ich mir mal nen stündchen zeit nehmen... thx + mfg, chris Zitieren
geloescht_JesterDay Geschrieben 9. April 2008 Geschrieben 9. April 2008 ... aber bei 4500 einträgen sehr müssig ;-) Tja, sowas kenn ich Damals als bei uns in Bot auf dem Server war wurde das Freitags nachmittags entdeckt, am letzten Tag vor meinem Urlaub Wenn du die Zeit eingrenzen kannst, dann würde ich das mal so probieren: grep auf die access-log zum finden der betroffenen Zeilen (Also den Dateinnamen finden), das gepipet auf ein grep nach mail (aufruf in php) Mal ganz grob beschrieben, zur Not auch in mehreren Schritten. Das sollte doch dann recht übersichtlich sein, schätze ich. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.