httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Jens Schwehn <schw...@st-oneline.net>
Subject Amoklaufendes Script finden
Date Mon, 15 Jan 2007 15:05:41 GMT
Hallo liebe Listenmitglieder,

ich habe hier ein mittelschweres Problem und ich weiss nicht wie es
sauber lösen soll.

Folgendes Szenario:
Wir haben hier einen Apache 1.3 inkl. PHP, CGI und einem Haufen VHost
(named-based). Heute gegen 7.30 fing die Kiste an wie wild Mails in die
weite Welt zu pusten - klassische "injection" durch ein schlecht
geschriebenes Script.

Nach dem ich jetzt 30000 Mails gelöscht habe und sehr sehr gefrustet
bin, möchte ich dem Programmierer des Scriptes mal meine Meinung sagen
:) nur mein Problem ist, dass ich nicht einmal die Domain erkennen kann,
wo das Script liegt. Ich konnte die Domains schon auf ein paar dutzende
einschränken und stecke gerade bis zu den Achseln in Logfiles.

Erwarten würde ich, dass ich seitenweise Logeinträge finde, die
innerhalb von sehr kurzer Zeit eine URL aufrufen also zB.
x.x.x.x - - [05/Jan/2007:11:44:28 +0100] "POST messy.php" ...
und das dann 1000 mal direkt hintereinander - aber leider ist das nicht
so - zu mindesten bisher noch nicht.

Jetzt meine Frage, wie handhabt ihr das? Wie findet ihr heraus, welcher
Kunde mit seiner Domain Unsinn macht?

Ich habe zwar schon eine Runde im Netz gesucht - aber an Ermangelung an
"guten" Begriffen habe ich eher keine Informationen finden können.

Jede Anregung und jeder RTFM Pointer ist willkommen.

Ach noch was, wir loggen für jeden VHost in eine extra Datei.

-- 
Mit freundlichen Grüßen
Jens Schwehn


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message