Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

moin!

ich habe da ein problemchen... mailqueue vom postfix hatte so an die 4500 mails, was mich verwunderte und mal motiviert hat, die mailqueue zu checken. alles mails, die drin waren, waren offenbar spams, die über ein php-script abgeschickt wurden. absender ist wwwrun gewesen.

meine frage: gibt es anhand der logs (vom apache?) eine möglichkeit, herauszufinden, welches script das war? über den user komm ich ja nicht wirklich weiter, da das ja der vom apache ist...

bin für jeden tipp dankbar

mfg, chris

Geschrieben

meine frage: gibt es anhand der logs (vom apache?) eine möglichkeit, herauszufinden, welches script das war? über den user komm ich ja nicht wirklich weiter, da das ja der vom apache ist...

bin für jeden tipp dankbar

Also direkt nicht.

Was du tun könntest wäre, dir die Zeit einer dieser Spammails ansehen, also wann die erstellt wurde, und dann dir das Skript (oder die Skripte, kenne ja die Auslasstung deines Servers nicht) mal genauer anzusehen (suchen in der access-log), was zu der Zeit aufgerufen wurde bzw von diesem Zeitpunkt an rückwärts bis du eines hast was passen könnte.

Das setzt allerdings vorraus, dass PHP nur über den Apache läuft und die CLI Version nciht aktiviert ist. Ob man das bei allen Distributionen tun kann weiß ich so jetzt gar nicht, kenn das nur von Debian, wo es ein extra Paket PHP-CLI gibt ohne dass der Aufruf aus der Shell z.B. nicht geht.

Naja, ok... wenn der Benutzer wwwrun ist (dann tip ich auch mal auf SuSe) wird das wohl so sein.

Geschrieben

thx für die antwort. genau das hab ich befürchtet und gestern auch versucht, aber bei 4500 einträgen sehr müssig ;-)

jop, ist sles 9 soweit ich weiß. naja, dann hilft das wohl alles nichts, muss ich mir mal nen stündchen zeit nehmen...

thx + mfg, chris

Geschrieben
... aber bei 4500 einträgen sehr müssig ;-)

Tja, sowas kenn ich ;) Damals als bei uns in Bot auf dem Server war wurde das Freitags nachmittags entdeckt, am letzten Tag vor meinem Urlaub ;)

Wenn du die Zeit eingrenzen kannst, dann würde ich das mal so probieren:

grep auf die access-log zum finden der betroffenen Zeilen (Also den Dateinnamen finden), das gepipet auf ein grep nach mail (aufruf in php)

Mal ganz grob beschrieben, zur Not auch in mehreren Schritten.

Das sollte doch dann recht übersichtlich sein, schätze ich.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...