Привет всем, имеется несколько сайтов, заметили, что происходит почтовая рассылка, нужно определить с какого сайта данный ужас. До этого с серверными делами вообще не имел дел, дали папки с логами от apache, nginx, mysql, открываю файлы и просто особо не понимаю, что там вообще происходит, сайтов много, логов за 30 дней и того порядка 200+ файлов, на что ориентироваться, как проводить поиск по файлам, как в логах обычно может указываться отправка письма, пожалуйста, прошу помощи
В общем-то в приведенных вами логах может не содержаться абсолютно ничего полезного для вас.
Ну разве что "на удачу" поискать в них что-то типа /mail.php
Вам нужен хотя бы maillog
Логи, тут особо бесполезны, кроме совсем примитивных взломов. Для их анализа я бы пошел от обратного:
1) Объединил бы все логи по дням от каждой программы в свой один большой файл (apache.log, nginx.log ..)
2) Смотрел бы внутрь, выделял бесполезные паттерны и вычищал бы их
В итоге получился бы файлик с подозрительными штуками, которые и анализировал бы. Но, для этого надо иметь богатый опыт, чтобы понимать что важно, а что нет
Поиск проблемы, лучше всего начать с анализа заголовков писем (ip, mailer и т.д.). Потом посмотреть кроны и пройтись поиском, по скриптам сайтов, на предмет mail / eval / base64 функций. Так же можно, на время подменить sendmail на bash скрипт, который перед отправкой писем будет вести лог вызвавшего его процесса и информации о нем. Все эти операции, совсем не простые, поэтому делать их надо очень осторожно, особенно на боевом сервере.
seftomsk: попробовать обязательно нужно, все с чего-то начинают. обычно сообщения в логах более-менее стандартные и большинство можно понять либо простым переводом, либо гуглением. В общем - пробуй, хуже точно не будет.
Простой
Простой
