读取从Hostway发送的电子邮件的访问日志

时间:2016-03-29 15:44:01

标签: php email logging server email-spam

我们客户的网站在Hostway托管。他们向我们发送了一封关于网站违规的电子邮件。他们给了我们这个。

Infected Files:

Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php

/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php

/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php

/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php

证据:

Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <josephine_fox@sample-consulting.com>)
id 1akYj1-00033B-O3
for mrc24@aol.com; Mon, 28 Mar 2016 10:05:03 -0500 018T To: mrc24@aol.com
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <josephine_fox@sample-consulting.com>
067I Message-ID: df8f0ea4b44afb61b35b27009c59c745@sample-consulting.com
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"
032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<arlene_mann@sample-consulting.com>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender sample0con@lsh1018.lsh.siteprotect.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
wahid.rotormas@gmail.com

我猜我们的网站遭到黑客入侵,现在正在发送垃圾邮件。 电子邮件包含

  

主题:快乐与隔壁的女孩

     

日期:星期一,2016年3月28日10:05:03 -0500

     

来自:Josephine Fox&lt;“josephine_fox@sample-consulting.com”&gt;

我们没有任何名称和电子邮件的用户。 另外,他们给了我们如下的日志。

访问日志:

85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15

这是我需要关注的地方。我想知道如何解释这些日志。据我所知,如下:

  • 85.128.142.15 - IP
  • [28 / Mar / 2016:11:17:11 - 参赛日期和时间
  • -0500 - 网络服务器位于美国中部夏令时
  • POST - 访问请求
  • 200和403 - 结果状态代码
  • 69 - 转移字节

如何理解这个?

  • /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php - 这是发送电子邮件的网址吗?
  • 发送电子邮件的日志上有 IP 吗?

如何知道某个日志是否正在发送电子邮件?是否有某种安排要注意电子邮件日志?

1 个答案:

答案 0 :(得分:0)

这些是来自http服务器访问日志文件的日志条目,它们描述了http请求,而不是电子邮件事件。这些请求源自当今典型的不同地址:此类僵尸站点由分布式僵尸网络用于其目的。这使得识别背后的人更加困难。您在请求中看到的路径是用于访问服务器的API的端点,这看起来像您的站点提供的SOAP API。

SMTP日志的问题并不容易回答。这实际上取决于你的php脚本如何发送消息。必须考虑4种主要变体:

  1. 您在该系统上运行本地SMTP服务器,这可能确实为您提供了邮件的日志文件。在这种情况下,日志文件的位置取决于您使用的服务器软件,例如eximpostfix。您将不得不检查服务器配置文件,或者只是在保留日志文件的文件夹下挖掘一下,通常类似于/var/log/...。然而,这种变体不太可能,因为你写道你正在使用一些托管公司。使用本地运行的SMTP服务器需要完全控制系统,因此root访问。如果你有,你会知道: - )

  2. 使用phps mail()函数在php中配置的标准路由发送消息。在这种情况下,它显然取决于该路由实际指向的SMTP中继服务器的配置,但很可能是在本地系统上运行的服务器。这意味着您必须保留运行SMTP服务器的远程系统的日志文件。这个可能是您的托管公司提供的系统,但这不太可能,因为他们会冒险将他们的系统一次又一次地放在黑名单上。无论如何,您必须与您的托管公司核实此事。

  3. 最有可能的情况是使用一些可用于php的SMTP客户端类发送消息。那些提供了更灵活的消息处理,这就是为什么它们通常比内置函数更受欢迎的原因。在这种情况下,类配置/初始化定义了哪个SMTP服务器用作中继,因此您必须查看PHP脚本以获取该信息。与选项2一样,这几乎肯定是本地运营的服务器,而是一些典型的中继,如GMail或Mandrill。然后,您无法获得日志文件,除非您与这些公司签订了特定合同,您也会知道: - )

  4. 作为选项3的变体,攻击者可能会覆盖或替换给定的配置并提供自己的连接详细信息。这很有可能,因为攻击者显然在您的系统中成功执行了注入的代码。所以他可以或多或少做他想做的事。在这种情况下,您可能会或可能无法找到这些详细信息的痕迹......

  5. 但坦率地说,我不明白为什么你对这些日志条目感兴趣,或者更好地了解这些消息的发送地址。

    请记住,在这种情况下,典型的攻击者不使用与受攻击网站相关的地址。相反,通常使用通过抓取公共网站(如论坛)(因此任意,被盗的地址)或通过猜测&#34;来收集的地址目录。地址,因此将典型的帐户名称与互联网上免费提供的已知域名相结合。您对此不感兴趣,因为如果您的控制完全没有,并且根本不与您或您的业务联系。