Posta gönderen php betiğini bul

Bana e-posta gönderen php komut dosyası bulmak için herhangi bir yolu var mı.

Ben bir "standart" kurulumda apache + php (hiçbir mod_suphp ne suexec) var ve ben günlükleri kontrol ederken ben sadece e-postaları gönderen kullanıcının uid görmek (cadı php komut dosyası e-postalar göndermek olduğunu bulmak istiyorum benim durumum apache) ama e-posta kaynaklı komut dosyası bulmak istiyorum.

Mümkün mü yoksa bunun izini sürmek için suexec veya mod_suphp yüklemeliyim?

Yardım için teşekkürler.

php 5.3 daha iyi posta izleme almak için oluklu, ama bunun olup olmadığından emin değilim. (değiştir: evet php 5.3 artık yerleşik olarak günlüğe sahiptir - php.ini, php kodundan posta kullanımını günlüğe kaydedecek mail.log yapılandırma değişkenine sahiptir.)

Sendmail'i bir sarıcı kabuk betiği yaparak sorunu çözdük.

Php.ini'de yeni bir posta gönderir. Örneğin:

sendmail_path = /usr/local/bin/sendmail-php -t -i

Sendmail-php betiği bilgi almak için logger'ı kullanır ve ardından sistemin sendmail'ini çağırır:

#!/bin/bash

logger -p mail.info -t sendmail-php "site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, filename=${SCRIPT_FILENAME}, docroot=${DOCUMENT_ROOT}, pwd=${PWD}, uid=${UID}, user=$(whoami)"

/usr/sbin/sendmail -t -i $*

Bu, syslog.conf dosyasında mail.info ayarınız ne olursa olsun oturum açar.

Başka bir öneri, Debian veya Ubuntu'yu zaten varsayılan olarak çalıştırmıyorsanız, PHP'deki boşlukları sıkmak için suhosin php uzantısını yüklemektir.

Bunun çözümü aslında birkaç adım gerektirir. labradort'un yukarıdaki çözümü, logger betiği php değil, bir bash betiği olduğundan ve bash betiğinin php değişkenlerine erişimi olmadığından, günlükler boş olduğu için gerçekte çalışmaz. Temel olarak, günlüğe kaydetmek istediğiniz her şeyin, e-postayı göndermeden önce günlükçünün verilere erişebilmesi için php'deki ortam değişkenlerine kaydedilmesi gerekir. Diğer kullanıcıların komut dosyalarını bulmaya çalıştığınız için, mutlaka kendi kodunuz değil, php kodu üzerinde hiçbir kontrole sahip değilsiniz, bu nedenle tüm çalıştırılan php'nin başlatma kodunuzu her şeyden önce çalıştırmasını sağlamak için PHP'nin auto_prepend_file özelliğini kullanmanız gerekir. Ben logger gereken veri var sağlamak için php.ini aracılığıyla aşağıdaki kodu ekledi:

<?php
/**
 * This passes all SERVER variables to environment variables, 
 * so they can be used by called bash scripts later
 */
foreach ( $_SERVER as $k=>$v ) putenv("$k=$v");
?>

Bu çalışmanın burada nasıl yapılacağına dair tam bir eğitim hazırladım: http://mcquarrie.com.au/wordpress/2012/10/tracking-down-malicious-php-spam-scripts/

PHP için, gönderilen e-postaya bir başlık ekleyerek hangi komut dosyasının e-posta oluşturduğunu gösteren bir düzeltme eki vardır . Çekirdek PHP'yi yamalamak istemediğim için test etmedim, ama iyi şeyler duydum.

İletilerin makaraya ne zaman eklendiğine ilişkin zaman dilimine uyan bir şey için erişim günlüklerini doldurmanız gerekir.

Kaynak dosyalar arasında yalnızca "mail (" alt dizesi) aranabilir mi?

Sadece php.ini dosyasında etkinleştirin

mail.add_x_header = On
mail.log = /var/log/phpmail.log

daha sonra bu dosyayı oluşturun ve yazma izni verin. Bundan sonra bir göz atın.