Журналы доступа для чтения электронной почты, отправленной с хоста

Question

Журналы доступа для чтения электронной почты, отправленной с хоста

Веб-сайт нашего клиента размещен на хосте. Они прислали нам письмо по поводу нарушения сайта. Они дали нам это.

Infected Files:

Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php

/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php

/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php

/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php

Доказательства:

Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <[email protected]>)
id 1akYj1-00033B-O3
for [email protected]; Mon, 28 Mar 2016 10:05:03 -0500 018T To: [email protected]
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <[email protected]>
067I Message-ID: [email protected]
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<[email protected]>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender [email protected]
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
[email protected]

Я предполагаю, что наш сайт был взломан, и теперь он рассылает спам.
Письмо содержит

Тема: Quickie с девушкой по соседству

Дата: понедельник, 28 марта 2016 г. 10:05:03 -0500

От: Джозефин Фокс <«[email protected]»>

У нас нет ни одного пользователя с таким именем и адресом электронной почты.
Кроме того, они дали нам журналы, как показано ниже.

Журналы доступа:

85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15

Вот где мне нужно сосредоточиться. Я хочу знать, как интерпретировать эти журналы. Насколько я могу понять, заключаются в следующем:

85.128.142.15 — IP
[28 / Mar / 2016: 11: 17: 11 — Дата и время въезда
-0500 — веб-сервер был в центральном летнем времени США
POST — Запрос доступа
200 и 403 — код статуса результата
69 — байт передано

Как это интерпретировать?

/backup-Sept-15-2015/modules/nuSOAP/lang/info13.php — Это тот URL, откуда было отправлено письмо?
В том, что IP в журнале, куда отправлено письмо?

Как узнать, отправляет ли определенный журнал электронное письмо? Есть ли какая-то договоренность, чтобы заметить для журнала электронной почты?

0

email email-spam logging php server

Решение

Другие решения

Других решений пока нет …

Источник

Accepted Answer

Это записи журнала из файла журнала доступа http-серверов, они описывают http-запросы, а не события электронной почты. Запросы поступают с разных адресов, что типично сегодня: такие зомби-сайты используются распределенными бот-сетями для своих целей. Это значительно затрудняет идентификацию людей, стоящих за этим. Путь, который вы видите в запросах, является конечной точкой API, используемого для доступа к серверу, это похоже на SOAP API, предлагаемый вашим сайтом.

Вопрос для журнала SMTP не так тривиален для ответа. Это на самом деле зависит от как ваши php-скрипты отправляют сообщение. 4 основных варианта должны быть рассмотрены:

в этой системе вы используете локальный SMTP-сервер, который действительно может предоставить вам файлы журналов для сообщений. В этом случае расположение файлов журнала зависит от того, какое серверное программное обеспечение вы используете, например exim или же postfix, Вам придется проверить файлы конфигурации серверов или просто немного покопаться в папке, где хранятся файлы журналов, обычно что-то вроде /var/log/..., Однако этот вариант маловероятен, так как вы написали, что используете какую-то хостинговую компанию. Использование локального SMTP-сервера требует полного контроля над системой, поэтому root доступ. Если бы у вас было это, вы бы знали 🙂
сообщения отправляются по стандартному маршруту, настроенному в php с помощью phps mail() функция. В этом случае это, очевидно, зависит от той конфигурации, на которую на самом деле указывает SMTP-сервер ретрансляции, но это, скорее всего, будет не быть сервером, работающим в вашей локальной системе. Это будет означать, что вам придется получить файлы журналов той удаленной системы, на которой работает SMTP-сервер. это может быть быть системой, которую предоставляет ваша хостинговая компания, но это маловероятно, поскольку они рискуют, что их системы будут снова и снова попадать в черные списки. В любом случае, вы должны проверить это с вашей хостинговой компанией.
наиболее вероятный сценарий — отправка сообщений с использованием некоторых клиентских классов SMTP, доступных для php. Они предлагают гораздо более гибкую обработку сообщений, поэтому их обычно предпочитают встроенным функциям. В этом случае конфигурация / инициализация класса определяет, какой SMTP-сервер используется в качестве ретранслятора, поэтому вам придется взглянуть на ваши php-скрипты для получения этой информации. Как и в варианте 2, это почти наверняка не быть локально управляемым сервером, но некоторым типичным ретранслятором, таким как GMail или Mandrill. Тогда вы не сможете получить доступ к файлам журналов, если у вас нет конкретного контракта с этими компаниями, о чем, опять же, вы бы знали 🙂
в качестве варианта варианта 3 злоумышленник может перезаписать или заменить данную конфигурацию и предоставить собственные данные о подключении. Скорее всего, это возможно, поскольку, по-видимому, злоумышленнику удалось выполнить внедренный код в вашей системе. Чтобы он мог делать более или менее то, что он хочет. В этом случае вы можете или не сможете найти следы этих деталей …

Однако, честно говоря, я не понимаю, почему вы интересуетесь этими записями в журнале или, точнее, информацией, по которой эти сообщения были отправлены.

Имейте в виду, что типичный злоумышленник в таком случае не использует адреса, связанные с атакованным сайтом. Вместо этого обычно используется каталог адресов, которые были собраны либо путем очистки общедоступных веб-сайтов, таких как форумы (произвольные, украденные адреса), либо путем «угадывания» адресов, что позволяет объединять типичные имена учетных записей с известными доменными именами, свободно доступными в Интернете. Вас это не интересует, так как оно полностью отсутствует, если у вас контроль и вообще не связано с вами или вашим бизнесом.

0