最受欢迎

读取从Hostway发送的电子邮件的访问日志

Read Access Logs for Email Sent from Hostway

本文关键字:电子邮件 日志 访问 Hostway 读取 | 更新日期: 2023-09-27

我们客户的网站托管在Hostway。他们给我们发了一封关于网站漏洞的电子邮件。他们给了我们这个。

Infected Files:
Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php
/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php
/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php
/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php

证据:

Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <josephine_fox@sample-consulting.com>)
id 1akYj1-00033B-O3
for mrc24@aol.com; Mon, 28 Mar 2016 10:05:03 -0500 018T To: mrc24@aol.com
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <josephine_fox@sample-consulting.com>
067I Message-ID: df8f0ea4b44afb61b35b27009c59c745@sample-consulting.com
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"
032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<arlene_mann@sample-consulting.com>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender sample0con@lsh1018.lsh.siteprotect.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
wahid.rotormas@gmail.com

我猜我们的网站被黑客入侵了,现在正在发送垃圾邮件。电子邮件包含

主题:Quickie与邻家女孩

日期:2016年3月28日星期一10:05:03-0500

发件人:Josephine Fox<quot;josephine_fox@sample-consulting.com"gt;

我们没有任何用户名和电子邮件。此外,他们给了我们下面这样的日志。

访问日志:

85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15

这是我需要关注的地方。我想知道如何解读这些日志。据我所能理解的如下:

  • 85.128.142.15-IP
  • 【2016年3月28日:11:17:11——参赛日期和时间
  • -0500-网络服务器在美国夏令时间
  • POST-访问请求
  • 200和403-结果状态代码
  • 69-传输的字节

如何解释?

  • /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php-这是发送电子邮件的url吗
  • 电子邮件发送到的日志上是否存在IP

我如何知道某个日志是否正在发送电子邮件?电子邮件日志是否有某种需要注意的安排?

这些是http服务器访问日志文件中的日志条目,它们描述的是http请求,而不是电子邮件事件。这些请求来自不同的地址,这在今天很常见:分布式机器人网络使用这些僵尸网站来实现其目的。这使得识别背后的人变得更加困难。您在请求中看到的路径是用于访问服务器的API的端点,这看起来像您的站点提供的SOAP API。

SMTP日志的问题并不是那么简单。这实际上取决于php脚本发送消息的方式。必须考虑4种主要变体:

  1. 您在该系统上操作本地SMTP服务器,该服务器可能确实会为您提供邮件的日志文件。在这种情况下,日志文件的位置取决于您使用的服务器软件,例如eximpostfix。您将不得不检查服务器配置文件,或者只需在保存日志文件的文件夹下翻一翻,通常类似于/var/log/...。然而,这种变体不太可能,因为你写道你正在使用某个托管公司。使用本地操作的SMTP服务器需要完全控制系统,因此root访问。如果你有,你就会知道:-)

  2. 通过php的mail()函数,使用php中配置的标准路由发送消息。在这种情况下,它显然取决于该配置,路由实际指向的SMTP中继服务器,但它很可能不是在本地系统上运行的服务器。这意味着您必须保留操作SMTP服务器的远程系统的日志文件。这可能是您的托管公司提供的系统,但这不太可能,因为他们会冒着系统一次又一次被列入黑名单的风险。不管怎样,你必须和你的托管公司核实一下。

  3. 最有可能的情况是使用php可用的一些SMTP客户端类发送消息。它们提供了更灵活的消息处理,这就是为什么它们通常比内置函数更受欢迎的原因。在这种情况下,类配置/初始化定义了什么SMTP服务器用作中继,因此您必须查看php脚本以获取该信息。在选项2中,几乎可以肯定不是是本地操作的服务器,而是一些典型的中继,如GMail或Mandrill。你将无法获得日志文件,除非你与这些公司签订了特定的合同,你会知道:-)

  4. 作为选项3的变体,攻击者可能会覆盖或替换给定的配置,并提供自己的连接详细信息。这很可能是可能的,因为攻击者显然成功地在您的系统中执行了注入的代码。所以他或多或少可以做他想做的事。在这种情况下,你可能会也可能找不到这些细节的痕迹。。。

然而,坦率地说,我不明白你为什么对这些日志条目感兴趣,或者对这些消息发送到的地址的信息感兴趣。

请记住,在这种情况下,典型的攻击者不会使用与受攻击网站相关的地址。相反,通常会使用一个地址目录,这些地址是通过抓取论坛等公共网站(如此随意、被盗的地址)或通过"猜测"地址来收集的,因此将典型的帐户名称与互联网上免费提供的已知域名相结合。你对此不感兴趣,因为如果你完全无法控制,与你或你的业务完全无关,那么它就完全不存在了。

相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习