httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Stephan Ferraro <cont...@ferraro.net>
Subject Re: Amoklaufendes Script finden
Date Mon, 15 Jan 2007 19:03:02 GMT
Hallo,

ich kann leider nicht direkt auf der apache Mailing Liste antworten
wegen Spam Gefahr, aber ich interessiere mich sehr fuer hoffnungslose
frustrierende Probleme unter Unix:
Ich wuerde folgendes machen falls es einen 2. Anlauf gibt:
Einen Wrapper schreiben fuer sendmail der die Shell Environement
Variabel HTTP_HOST in eine Datei loggt mit dem Inhalt und dem Ziel
der E-Mail Adresse. Das loggen ist nur vorruebergehend bis Sie
den Kunden gefunden haben.
Die Idee mit dem HTTP_HOST muessen Sie nochmal auf einem
Testserver testen, um sicher zu gehen das der Inhalt dieser Variabel
fuer die verschiedenen virtual hosts auch uebergeben wird.

Fuer das was schon passiert ist bleibt ihnen nichts anderes mehr
uebrig als die Uhrzeiten der Logdateien zu vergleichen.

Interessant koennte auch mal ein grep nach dem Befehl mail und
sendmail sein.

Voila,
bin mal gespannt ob das klappt.
Stephan.

On Mon, Jan 15, 2007 at 04:05:41PM +0100, Jens Schwehn wrote:
> Hallo liebe Listenmitglieder,
> 
> ich habe hier ein mittelschweres Problem und ich weiss nicht wie es
> sauber lösen soll.
> 
> Folgendes Szenario:
> Wir haben hier einen Apache 1.3 inkl. PHP, CGI und einem Haufen VHost
> (named-based). Heute gegen 7.30 fing die Kiste an wie wild Mails in die
> weite Welt zu pusten - klassische "injection" durch ein schlecht
> geschriebenes Script.
> 
> Nach dem ich jetzt 30000 Mails gelöscht habe und sehr sehr gefrustet
> bin, möchte ich dem Programmierer des Scriptes mal meine Meinung sagen
> :) nur mein Problem ist, dass ich nicht einmal die Domain erkennen kann,
> wo das Script liegt. Ich konnte die Domains schon auf ein paar dutzende
> einschränken und stecke gerade bis zu den Achseln in Logfiles.
> 
> Erwarten würde ich, dass ich seitenweise Logeinträge finde, die
> innerhalb von sehr kurzer Zeit eine URL aufrufen also zB.
> x.x.x.x - - [05/Jan/2007:11:44:28 +0100] "POST messy.php" ...
> und das dann 1000 mal direkt hintereinander - aber leider ist das nicht
> so - zu mindesten bisher noch nicht.
> 
> Jetzt meine Frage, wie handhabt ihr das? Wie findet ihr heraus, welcher
> Kunde mit seiner Domain Unsinn macht?
> 
> Ich habe zwar schon eine Runde im Netz gesucht - aber an Ermangelung an
> "guten" Begriffen habe ich eher keine Informationen finden können.
> 
> Jede Anregung und jeder RTFM Pointer ist willkommen.
> 
> Ach noch was, wir loggen für jeden VHost in eine extra Datei.
> 
> -- 
> Mit freundlichen Grüßen
> Jens Schwehn
> 
> 
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de" 
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------

-- 
Best regards,
Stephan FERRARO
Director & Member - Ferraro Ltd.
GnuPG public key: gpg --keyserver www.keyserver.net --recv-key F510D9A1

Mime
View raw message