スパム送信スクリプトを見つけますか?
メールのスパム送信スクリプトを見つけるためのヒントは何ですか?私は通常、共有ホスティング環境で壁にぶつかるので、私は他の人からいくつかの洞察を得るための方法としてこの質問をします。
私がやること:
- RBLでIPを確認し、IPがリストされた時刻を取得してください。
- Transfer.logsおよびFTPログを調べて、悪意のあるアクティビティを探します。
- "ライブ"モード(
tail -fn0)でtransfer.logsを監視し、悪意のあるアクティビティを監視します。 - 最近変更されたスクリプトファイル(py、cgi、pl、php)のgrep。
maldet/clamavを実行します。ただし、スパムスクリプトはめったに見つかりません;(straceメール処理する必要がある場合。- 送信されたスクリプトの
UIDがユーザーに返されるかどうかを確認します。 X-PHP-OriginおよびX-Mailerメールヘッダーを確認します。- Findbot.plスクリプトを利用します: http://cbl.abuseat.org/findbot.pl
共有ホスティングプラットフォームで行うことは、発信接続(特にUDP)を制限/ブロックし、ポート(リスナー)にバインドしようとするスクリプトをチェックすることです。 SMTPトラフィックをレート制限し、顧客のユーザー名を含むログを保存するすべてのSMTPトラフィックをメールサーバーに強制します。特定のユーザーへのインシデントを追跡できるように、顧客ごとに一意のユーザーIDを割り当てます。私たちは、FTPサーバーを使用して、疑わしいIPアドレス(主に他の大陸からのもの)とファイル名(Joomla、Magentoなどの既知の不良ファイル)をチェックしています。これらのアクションの間に非常に限られた時間(秒)でダウンロードおよびアップロードされているファイルを検出するスクリプトがあります。これは、侵害されたFTPアカウントを検出するもう1つの優れた方法であることが判明しました。
私自身は使用していませんが、HoneySpider( http://www.honeyspider.net/ )を試してみてください。これは、Webサイトで悪意のあるファイルやスクリプトなどをスキャンします。
すべてのサイトのファイルのコピーを、共有ホスティング以外の場所(たとえば、コンピューター上)に保管する必要があります。共有ホスティングで悪意のあるスクリプトをチェックする場合は、ホスティング内のすべてのファイルのZipをダウンロードして、ファイルのローカルコピーと比較できます。ディレクトリを再帰的に比較するため、この差分にはMeldを使用しています。
別のオプションは、Nikto2( http://www.cirt.net/nikto2 )を使用することです。これは、Webサーバーで頻繁に見られる既知のマルウェアの大規模で頻繁に更新されるリストをサイトでスキャンします。
不正なスクリプトによるメールの送信を許可しないでください。スクリプトがメールを高速で送信している場合は、管理者に警告してください。ほとんどのユーザーはおそらく電子メール機能を必要としないでしょう。彼らがそれを要求し、なぜそれが必要なのか理由を指定しない限り、それを彼らに与えないでください。