How to find out which site sends spam?

A

Alexey Verkhovtsev2016-06-24 13:36:09

System administration

Alexey Verkhovtsev, 2016-06-24 13:36:09

Привет всем, имеется несколько сайтов, заметили, что происходит почтовая рассылка, нужно определить с какого сайта данный ужас. До этого с серверными делами вообще не имел дел, дали папки с логами от apache, nginx, mysql, открываю файлы и просто особо не понимаю, что там вообще происходит, сайтов много, логов за 30 дней и того порядка 200+ файлов, на что ориентироваться, как проводить поиск по файлам, как в логах обычно может указываться отправка письма, пожалуйста, прошу помощи

Reply

Answer the question

In order to leave comments, you need to log in

1 answer(s)

V

Vitaliy Orlov, 2016-06-24
@orlov0562

Логи, тут особо бесполезны, кроме совсем примитивных взломов. Для их анализа я бы пошел от обратного:
1) Объединил бы все логи по дням от каждой программы в свой один большой файл (apache.log, nginx.log ..)
2) Смотрел бы внутрь, выделял бесполезные паттерны и вычищал бы их
В итоге получился бы файлик с подозрительными штуками, которые и анализировал бы. Но, для этого надо иметь богатый опыт, чтобы понимать что важно, а что нет
Поиск проблемы, лучше всего начать с анализа заголовков писем (ip, mailer и т.д.). Потом посмотреть кроны и пройтись поиском, по скриптам сайтов, на предмет mail / eval / base64 функций. Так же можно, на время подменить sendmail на bash скрипт, который перед отправкой писем будет вести лог вызвавшего его процесса и информации о нем. Все эти операции, совсем не простые, поэтому делать их надо очень осторожно, особенно на боевом сервере.