forum.opennet.ru - "Обнаружена рассылки спама на хостинг сервере" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Обнаружена рассылки спама на хостинг сервере"

Форумы WEB технологии (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обнаружена рассылки спама на хостинг сервере"
Сообщение от Aleksey (??) on 06-Янв-09, 13:37
Всем доброго времени суток. Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, на которые идет спам, результата не принес. Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Обнаружена рассылки спама на хостинг сервере, bibi, 18:35 , 06-Янв-09, (1)
Обнаружена рассылки спама на хостинг сервере, Pahanivo, 19:34 , 06-Янв-09, (2)

Обнаружена рассылки спама на хостинг сервере, Aleksey, 21:40 , 06-Янв-09, (3)

Обнаружена рассылки спама на хостинг сервере, Pahanivo, 23:21 , 06-Янв-09, (4)

Обнаружена рассылки спама на хостинг сервере, Aleksey, 10:47 , 07-Янв-09, (6)

Обнаружена рассылки спама на хостинг сервере, Aleksey, 10:43 , 07-Янв-09, (5)
Обнаружена рассылки спама на хостинг сервере, Aquarius, 10:39 , 11-Янв-09, (7)

Обнаружена рассылки спама на хостинг сервере, Aleksey, 13:34 , 11-Янв-09, (8)

Обнаружена рассылки спама на хостинг сервере, Aleksey, 11:45 , 13-Янв-09, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от bibi on 06-Янв-09, 18:35

>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
OS?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Pahanivo (??) on 06-Янв-09, 19:34

>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
мда все очень внятно и подробно изложил ))
как вариант смотреть логи апача на предмет постоянного обращения по одному и тому же урлу
(или урлу у которого варьируются пеерменные).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aleksey (??) on 06-Янв-09, 21:40

>OS?
ОС Linux.

>[оверквотинг удален]
>>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>>на которые идет спам, результата не принес.
>>
>>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
>
>мда все очень внятно и подробно изложил ))
>
>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>тому же урлу
>(или урлу у которого варьируются пеерменные).
Что именно Вам непонятно?
Все казалось бы просто... вот только, чем "смотреть логи апача на предмет постоянного обращения по одному и тому же урлу"?

Существуют ли системы обнаружения подобных спамерских атак?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Pahanivo (??) on 06-Янв-09, 23:21

>[оверквотинг удален]
>>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и
>>тому же урлу
>>(или урлу у которого варьируются пеерменные).
>
>Что именно Вам непонятно?
>Все казалось бы просто... вот только, чем "смотреть логи апача на предмет
>постоянного обращения по одному и тому же урлу"?
>
>
>Существуют ли системы обнаружения подобных спамерских атак?
ну например самое простое воспользоваться awk grep uniq sort и тд

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aleksey (??) on 07-Янв-09, 10:47

>ну например самое простое воспользоваться awk grep uniq sort и тд
Можно в Ваш список добавить еще sed и perl, но это лишь названия программ.
Вы бы скрипт привели для примера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aleksey (??) on 07-Янв-09, 10:43

Появилась идея, как бороться с web спамерами.
1-й способ - запустить интерактивный мониторинг через Apache /server-status с директивой 'ExtendedStatus On' после того, как очередь писем превысит определенный baseline, например, 100 писем.
2-й способ - если атакующий использует одно соединение, то, теоретически, должен помочь Apache mod_evasive. Нужно только ловить в syslog его сообщения, и потом искать обращаения с найденного ip адреса в access.log
3-й способ - если атакующий использует несколько соединение, то, теоретически, должен помочь Apache mod_security с директивой 'SecGuardianLog' + http_guardian. Нужно только ловить в syslog его сообщения, и потом искать общаения с найденного ip адреса в access.log
Это все теория, надо пробовать на практике.
Идеи, замечания?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aquarius (ok) on 11-Янв-09, 10:39

>Всем доброго времени суток.
>
>Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама,
>предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с
>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам,
>на которые идет спам, результата не принес.
>
>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи?
http://www.opennet.dev/opennews/art.shtml?num=19720

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aleksey (??) on 11-Янв-09, 13:34

>http://www.opennet.dev/opennews/art.shtml?num=19720
Спасибо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Обнаружена рассылки спама на хостинг сервере"

Сообщение от Aleksey (??) on 13-Янв-09, 11:45

Пропатчил версию php 5.2.6. К сожалению, готового патча нет, так что пришлось править руками.
Появляется возможность использовать две новые директивы:
; Add X-PHP-Originaiting-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off
; Log all mail() calls including the full path of the script, line #, to address and headers
mail.log =

В результате, ведется полный лог использования функции mail(). Директиву можно использовать как глобально, так и индивидуально для каждого хоста.
Существенный минус - это, что mail.log пишется с правами web сервера, поэтому нуно дать на него права на запись и добавить в open_basedir, но это уже лучше, чем ничего.
Можно рекомендовать к использованию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обнаружена рассылки спама на хостинг сервере"
Сообщение от bibi on 06-Янв-09, 18:35
>Всем доброго времени суток. > >Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, >предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с >какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, >на которые идет спам, результата не принес. > >Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? OS?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Обнаружена рассылки спама на хостинг сервере"
Сообщение от Pahanivo (??) on 06-Янв-09, 19:34
>Всем доброго времени суток. > >Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, >предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с >какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, >на которые идет спам, результата не принес. > >Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? мда все очень внятно и подробно изложил )) как вариант смотреть логи апача на предмет постоянного обращения по одному и тому же урлу (или урлу у которого варьируются пеерменные).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Обнаружена рассылки спама на хостинг сервере"
	Сообщение от Aleksey (??) on 06-Янв-09, 21:40
	>OS? ОС Linux. >[оверквотинг удален] >>какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, >>на которые идет спам, результата не принес. >> >>Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? > >мда все очень внятно и подробно изложил )) > >как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и >тому же урлу >(или урлу у которого варьируются пеерменные). Что именно Вам непонятно? Все казалось бы просто... вот только, чем "смотреть логи апача на предмет постоянного обращения по одному и тому же урлу"? Существуют ли системы обнаружения подобных спамерских атак?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Обнаружена рассылки спама на хостинг сервере"
	Сообщение от Pahanivo (??) on 06-Янв-09, 23:21
	>[оверквотинг удален] >>как вариант смотреть логи апачалоги апача на предмет постоянного обращения по одному и >>тому же урлу >>(или урлу у которого варьируются пеерменные). > >Что именно Вам непонятно? >Все казалось бы просто... вот только, чем "смотреть логи апача на предмет >постоянного обращения по одному и тому же урлу"? > > >Существуют ли системы обнаружения подобных спамерских атак? ну например самое простое воспользоваться awk grep uniq sort и тд
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Обнаружена рассылки спама на хостинг сервере"
	Сообщение от Aleksey (??) on 07-Янв-09, 10:47
	>ну например самое простое воспользоваться awk grep uniq sort и тд Можно в Ваш список добавить еще sed и perl, но это лишь названия программ. Вы бы скрипт привели для примера.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Обнаружена рассылки спама на хостинг сервере"
Сообщение от Aleksey (??) on 07-Янв-09, 10:43
Появилась идея, как бороться с web спамерами. 1-й способ - запустить интерактивный мониторинг через Apache /server-status с директивой 'ExtendedStatus On' после того, как очередь писем превысит определенный baseline, например, 100 писем. 2-й способ - если атакующий использует одно соединение, то, теоретически, должен помочь Apache mod_evasive. Нужно только ловить в syslog его сообщения, и потом искать обращаения с найденного ip адреса в access.log 3-й способ - если атакующий использует несколько соединение, то, теоретически, должен помочь Apache mod_security с директивой 'SecGuardianLog' + http_guardian. Нужно только ловить в syslog его сообщения, и потом искать общаения с найденного ip адреса в access.log Это все теория, надо пробовать на практике. Идеи, замечания?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Обнаружена рассылки спама на хостинг сервере"
Сообщение от Aquarius (ok) on 11-Янв-09, 10:39
>Всем доброго времени суток. > >Имеется хостинг сервер на 200 сайтов (Apache2 + php4). Обнаружена рассылка спама, >предположиельно, через web форму, на одном из сайтов. Необходимо обнаружить, с >какого виртульносго хоста идет рассылка. Поиск в лог файлах по адресам, >на которые идет спам, результата не принес. > >Кто-то сталкивался с подобной проблемой? Какие-нибудь идеи? http://www.opennet.dev/opennews/art.shtml?num=19720
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Обнаружена рассылки спама на хостинг сервере"
	Сообщение от Aleksey (??) on 11-Янв-09, 13:34
	>http://www.opennet.dev/opennews/art.shtml?num=19720 Спасибо!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Обнаружена рассылки спама на хостинг сервере"
	Сообщение от Aleksey (??) on 13-Янв-09, 11:45
	Пропатчил версию php 5.2.6. К сожалению, готового патча нет, так что пришлось править руками. Появляется возможность использовать две новые директивы: ; Add X-PHP-Originaiting-Script: that will include uid of the script followed by the filename mail.add_x_header = Off ; Log all mail() calls including the full path of the script, line #, to address and headers mail.log = В результате, ведется полный лог использования функции mail(). Директиву можно использовать как глобально, так и индивидуально для каждого хоста. Существенный минус - это, что mail.log пишется с правами web сервера, поэтому нуно дать на него права на запись и добавить в open_basedir, но это уже лучше, чем ничего. Можно рекомендовать к использованию.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]