读取从 Hostway 发送的电子邮件的访问日志
Read Access Logs for Email Sent from Hostway
我们客户的网站托管在 Hostway。他们向我们发送了一封有关网站违规的电子邮件。他们给了我们这个。
Infected Files:
Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php
/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php
/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php
/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php
证据:
Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <josephine_fox@sample-consulting.com>)
id 1akYj1-00033B-O3
for mrc24@aol.com; Mon, 28 Mar 2016 10:05:03 -0500 018T To: mrc24@aol.com
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <josephine_fox@sample-consulting.com>
067I Message-ID: df8f0ea4b44afb61b35b27009c59c745@sample-consulting.com
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"
032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<arlene_mann@sample-consulting.com>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender sample0con@lsh1018.lsh.siteprotect.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
wahid.rotormas@gmail.com
我猜我们的网站被黑了,现在正在发送垃圾邮件。
电子邮件包含
Subject: Quickie With a Girl Next Door
Date: Mon, 28 Mar 2016 10:05:03 -0500
From: Josephine Fox <"josephine_fox@sample-consulting.com">
我们没有该名称和电子邮件的任何用户。
另外,他们给了我们如下日志。
访问日志:
85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
这是我需要关注的地方。我想知道如何解释这些日志。据我了解如下:
- 85.128.142.15 - IP
- [28/Mar/2016:11:17:11 - 输入的日期和时间
- -0500 - Web 服务器使用美国中部夏令时
- POST - 访问请求
- 200 和 403 - 结果状态代码
- 69 - 传输的字节数
如何解读?
- /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php - 这是发送电子邮件的 url 吗?
- 日志中的那个IP是邮件发往的地址吗?
我如何知道某个日志是否正在发送电子邮件?电子邮件日志是否有某种需要注意的安排?
这些是来自 http 服务器访问日志文件的日志条目,它们描述了 http 请求,而不是电子邮件事件。这些请求来自不同的地址,这在今天很常见:此类僵尸站点被分布式僵尸网络用于其目的。这使得识别其背后的人变得更加困难。您在请求中看到的路径是用于访问服务器的 API 的端点,这看起来像您的站点提供的 SOAP API。
SMTP 日志的问题不是那么容易回答。这实际上取决于 如何 您的 php 脚本发送消息。必须考虑 4 个主要变体:
您在该系统上运行本地 SMTP 服务器,它可能确实为您提供消息的日志文件。在这种情况下,日志文件的位置取决于您使用的服务器软件,例如 exim 或 postfix。您将不得不检查服务器配置文件或简单地在保存日志文件的文件夹下稍微挖掘一下,通常类似于 /var/log/...。但是,这种变体不太可能,因为您写道您正在使用一些托管公司。使用本地运行的 SMTP 服务器需要完全控制系统,因此 root 访问。如果你有,你就会知道:-)
消息是通过phps mail()函数使用php中配置的标准路由发送的。在那种情况下,它显然取决于该配置,该路由实际指向哪个 SMTP 中继服务器,但它很可能 而不是 是在您的本地系统上运行的服务器。这意味着您必须掌握运行 SMTP 服务器的远程系统的日志文件。此 可能 是您的托管公司提供的系统,但这不太可能,因为他们会冒着系统一次又一次被列入黑名单的风险。无论如何,您必须与您的托管公司核实一下。
最有可能的情况是,邮件是使用某些可用于 php 的 SMTP 客户端 class 发送的。这些提供了更灵活的消息处理,这就是为什么它们通常比内置函数更受欢迎。在这种情况下,class 配置/初始化定义了用作中继的 SMTP 服务器,因此您必须查看 php 脚本以获取该信息。与选项 2 一样,这几乎肯定 不是 本地操作的服务器,而是一些典型的中继,如 GMail 或 Mandrill。除非您与这些公司签订了特定合同,否则您将无法获得日志文件,同样,您会知道:-)
作为选项 3 的变体,攻击者可能会覆盖或替换给定的配置并提供自己的连接详细信息。这很可能是可能的,因为攻击者显然成功地在您的系统中执行了注入代码。所以他可以或多或少地做他想做的事。在那种情况下,您可能无法找到这些细节的踪迹...
但坦率地说,我不明白您为什么对这些日志条目感兴趣,或者对这些消息发送到哪些地址的信息更感兴趣。
请记住,在这种情况下,典型的攻击者不会使用与受攻击网站相关的地址。相反,通常使用地址目录,这些地址目录是通过抓取 public 网站(如论坛)(如此任意,被盗地址)或通过 "guessing" 地址收集的,因此可以自由地将典型的帐户名称与已知域名结合起来在互联网上可用。您对此不感兴趣,因为如果您无法控制并且与您或您的业务完全无关,那将完全超出范围。
我们客户的网站托管在 Hostway。他们向我们发送了一封有关网站违规的电子邮件。他们给了我们这个。
Infected Files:
Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php
/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php
/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php
/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php
证据:
Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <josephine_fox@sample-consulting.com>)
id 1akYj1-00033B-O3
for mrc24@aol.com; Mon, 28 Mar 2016 10:05:03 -0500 018T To: mrc24@aol.com
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <josephine_fox@sample-consulting.com>
067I Message-ID: df8f0ea4b44afb61b35b27009c59c745@sample-consulting.com
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"
032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<arlene_mann@sample-consulting.com>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender sample0con@lsh1018.lsh.siteprotect.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
wahid.rotormas@gmail.com
我猜我们的网站被黑了,现在正在发送垃圾邮件。 电子邮件包含
Subject: Quickie With a Girl Next Door
Date: Mon, 28 Mar 2016 10:05:03 -0500
From: Josephine Fox <"josephine_fox@sample-consulting.com">
我们没有该名称和电子邮件的任何用户。 另外,他们给了我们如下日志。
访问日志:
85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
这是我需要关注的地方。我想知道如何解释这些日志。据我了解如下:
- 85.128.142.15 - IP
- [28/Mar/2016:11:17:11 - 输入的日期和时间
- -0500 - Web 服务器使用美国中部夏令时
- POST - 访问请求
- 200 和 403 - 结果状态代码
- 69 - 传输的字节数
如何解读?
- /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php - 这是发送电子邮件的 url 吗?
- 日志中的那个IP是邮件发往的地址吗?
我如何知道某个日志是否正在发送电子邮件?电子邮件日志是否有某种需要注意的安排?
这些是来自 http 服务器访问日志文件的日志条目,它们描述了 http 请求,而不是电子邮件事件。这些请求来自不同的地址,这在今天很常见:此类僵尸站点被分布式僵尸网络用于其目的。这使得识别其背后的人变得更加困难。您在请求中看到的路径是用于访问服务器的 API 的端点,这看起来像您的站点提供的 SOAP API。
SMTP 日志的问题不是那么容易回答。这实际上取决于 如何 您的 php 脚本发送消息。必须考虑 4 个主要变体:
您在该系统上运行本地 SMTP 服务器,它可能确实为您提供消息的日志文件。在这种情况下,日志文件的位置取决于您使用的服务器软件,例如
exim或postfix。您将不得不检查服务器配置文件或简单地在保存日志文件的文件夹下稍微挖掘一下,通常类似于/var/log/...。但是,这种变体不太可能,因为您写道您正在使用一些托管公司。使用本地运行的 SMTP 服务器需要完全控制系统,因此root访问。如果你有,你就会知道:-)消息是通过phps
mail()函数使用php中配置的标准路由发送的。在那种情况下,它显然取决于该配置,该路由实际指向哪个 SMTP 中继服务器,但它很可能 而不是 是在您的本地系统上运行的服务器。这意味着您必须掌握运行 SMTP 服务器的远程系统的日志文件。此 可能 是您的托管公司提供的系统,但这不太可能,因为他们会冒着系统一次又一次被列入黑名单的风险。无论如何,您必须与您的托管公司核实一下。最有可能的情况是,邮件是使用某些可用于 php 的 SMTP 客户端 class 发送的。这些提供了更灵活的消息处理,这就是为什么它们通常比内置函数更受欢迎。在这种情况下,class 配置/初始化定义了用作中继的 SMTP 服务器,因此您必须查看 php 脚本以获取该信息。与选项 2 一样,这几乎肯定 不是 本地操作的服务器,而是一些典型的中继,如 GMail 或 Mandrill。除非您与这些公司签订了特定合同,否则您将无法获得日志文件,同样,您会知道:-)
作为选项 3 的变体,攻击者可能会覆盖或替换给定的配置并提供自己的连接详细信息。这很可能是可能的,因为攻击者显然成功地在您的系统中执行了注入代码。所以他可以或多或少地做他想做的事。在那种情况下,您可能无法找到这些细节的踪迹...
但坦率地说,我不明白您为什么对这些日志条目感兴趣,或者对这些消息发送到哪些地址的信息更感兴趣。
请记住,在这种情况下,典型的攻击者不会使用与受攻击网站相关的地址。相反,通常使用地址目录,这些地址目录是通过抓取 public 网站(如论坛)(如此任意,被盗地址)或通过 "guessing" 地址收集的,因此可以自由地将典型的帐户名称与已知域名结合起来在互联网上可用。您对此不感兴趣,因为如果您无法控制并且与您或您的业务完全无关,那将完全超出范围。