https://opennet.me/openforum/vsluhforumID8/7879.html Подскажите плс. как концептуально правильно вычисляется php скрипт, работающий под Apache-itc и генерирующий определенный исходящий запрос? Методы перебора скриптов вкупе с "разделяй и влавствуй" не предлагать. Интересует все же возможность "загнать" в лог действия скриптов, генерирующих исходящие запросы.<br>Заранее благодарю за помощь.<br> https://opennet.me/openforum/vsluhforumID8/7879.html#8 Mon, 26 May 2014 04:19:24 GMT <br>&gt; Нужна правильная концепция поиска...<br>&gt; То есть метод логирования исходящих запросов от скриптов, а не решение конкретной <br>&gt; задачи в конкретном случае.<br><br>Ну удачи.<br><br><br> https://opennet.me/openforum/vsluhforumID8/7879.html#7 Sun, 25 May 2014 14:32:14 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Нужна правильная концепция поиска...<br>&gt; То есть метод логирования исходящих запросов от скриптов, а не решение конкретной <br>&gt; задачи в конкретном случае.<br><br>У каждого хостера свои шаблоны поиска левых запросов.<br><br>У меня их десятка два. После 3-х запросов с 1 IP, этот IP баннятся на сутки.<br>Потом мне в конце дня шлются отчеты.<br>Абьюзы бесполезно слать, никто из российских-украинских ДЦ и домашних сетей не реагируют на запросы.<br> https://opennet.me/openforum/vsluhforumID8/7879.html#6 Sun, 25 May 2014 12:07:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Скрипт на shell-awk легко подсчитает расход траффика по пользователям.<br>&gt;&gt; А это то тут причем?<br>&gt;&gt; Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP <br>&gt;&gt; запросы.<br>&gt; 1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут <br>&gt; запросы.<br>&gt; 2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ. <br>&gt; 3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя, <br>&gt; анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо <br>&gt; полностью либо на исходящие соединения.<br><br>Нужна правильная концепция поиска...<br>То есть метод логирования исходящих запросов от скриптов, а не решение конкретной задачи в конкретном случае.<br> https://opennet.me/openforum/vsluhforumID8/7879.html#5 Sun, 25 May 2014 08:43:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с <br>&gt;&gt;&gt;&gt; чем мы работаем, из ваших описаний, это не понятно.<br>&gt;&gt;&gt; Как с чем работаем, с горой сайтов. То есть под апачем итк <br>&gt;&gt;&gt; крутиться гора сайтов, под разными пользователями. То есть в сумме больше <br>&gt;&gt;&gt; 10к файлов php.<br>&gt;&gt;&gt; Система Centos. Если нужны еще какие то вводные, дайте знать.<br>&gt;&gt; Скрипт на shell-awk легко подсчитает расход траффика по пользователям.<br>&gt; А это то тут причем?<br>&gt; Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP <br>&gt; запросы.<br><br>1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут запросы.<br>2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ.<br>3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя, анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо полностью либо на исходящие соединения.<br> https://opennet.me/openforum/vsluhforumID8/7879.html#4 Sat, 24 May 2014 21:45:51 GMT &gt;&gt;&gt; В Апач лог никак.<br>&gt;&gt;&gt; Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с <br>&gt;&gt;&gt; чем мы работаем, из ваших описаний, это не понятно.<br>&gt;&gt; Как с чем работаем, с горой сайтов. То есть под апачем итк <br>&gt;&gt; крутиться гора сайтов, под разными пользователями. То есть в сумме больше <br>&gt;&gt; 10к файлов php.<br>&gt;&gt; Система Centos. Если нужны еще какие то вводные, дайте знать.<br>&gt; Скрипт на shell-awk легко подсчитает расход траффика по пользователям.<br><br>А это то тут причем?<br>Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP запросы.<br><br><br> https://opennet.me/openforum/vsluhforumID8/7879.html#3 Sat, 24 May 2014 21:36:33 GMT &gt;&gt; В Апач лог никак.<br>&gt;&gt; Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с <br>&gt;&gt; чем мы работаем, из ваших описаний, это не понятно.<br>&gt; Как с чем работаем, с горой сайтов. То есть под апачем итк <br>&gt; крутиться гора сайтов, под разными пользователями. То есть в сумме больше <br>&gt; 10к файлов php.<br>&gt; Система Centos. Если нужны еще какие то вводные, дайте знать.<br><br>Скрипт на shell-awk легко подсчитает расход траффика по пользователям.<br><br> https://opennet.me/openforum/vsluhforumID8/7879.html#2 Sat, 24 May 2014 16:42:27 GMT &gt; В Апач лог никак.<br>&gt; Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с <br>&gt; чем мы работаем, из ваших описаний, это не понятно.<br><br>Как с чем работаем, с горой сайтов. То есть под апачем итк крутиться гора сайтов, под разными пользователями. То есть в сумме больше 10к файлов php.<br>Система Centos. Если нужны еще какие то вводные, дайте знать.<br> https://opennet.me/openforum/vsluhforumID8/7879.html#1 Sat, 24 May 2014 06:08:10 GMT В Апач лог никак.<br><br>Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с чем мы работаем, из ваших описаний, это не понятно.<br>