Nekolikrat rocne se setkam s aktivnim utokem, ktery je uspesny.
utocnik ma nekolik cest do serveru
-bud zlomi nekom login
-zneuzije webu bez captcha
-zneuzie mail sluzbu primo v aplikaci
-nebo pres diru nejake aplikace www douinstaluje script a pak si jej vola na dalku
Jak ho najit.
mailq
ukaze frontu emailu
nebo
mailq -batch
ukaze frontu kompaktneji
je li fronta opravdu velka, staci nad 100 mailu a nevim stale kudy leze dovnitr, mohu paralerne delat nekolik ukonu jak frontu smazat.
nejlepe zastavit couriera
/etc/init.d/courier-mta stop
pak smazat ve fronte emaily prikazem
courier-deletemsg.sh email@spamera.com
nebo
pokud se nezdaří, protože je má courier ve frontě, je možné frontu natvrdo smazat zde:
cd /var/lib/courier/msgs/
a v tomto jsou ocislovane adresare s eamilovymi bloky
jednoduse smazu takto:
rm -rf 48
ale POZOR je li ve fronte i email nesmpam, smazu ho taky 🙁
nazapomenotu potom pustit apache
/etc/init.d/courier-mta start
Dále sledovat:
tail -f /var/log/apache/*.log
bude vypisovat cely adresar log apache opakovane, dokud fyzicky neuvidim moc spojeni z jedne IP, tu pak do firewallu a navic poresit misto pruniku
nebo mohu hledat primo v adresarich s weby na podezrely exec
find . -name ‚*.php‘ -exec grep exec {} ;
spustene v home podezreleho webu vylistuje script ktery vola dalkovou sluzbu
-zablokovat soubory
vyhledani souboru je mozne i takto
grep -ri hledanytext /mnt/sda3/home/blucina/httpd
Pro jistotu je ve vetšině virtualhostu v apache kazde domeny prvek, ktery zamezuje odesilani emailu primo z te konkretni domeny, aby nedoslo ke zneuziti.
prevk je tento:
php_value disable_functions mail
nepujde potom ale app pod touto domenou zavolat primo mail prikaz serveru.
pro obejiti se musi app volat specialnim modulem nebo scriptem, nebo ji to povolit, zakomentovanim teto radky a apache.
aktivni je po reloadu apache!
Je to velmi narocne a otravne jen tak najit zdroj utoku, protoze se nikdy nevi kudy se vloudil.
toto snad vse, vzdy musel jeste poradit guru Georgik.