Individuare gli script PHP che inviano SPAM: differenze tra le versioni

← Differenza precedente

Individuare gli script PHP che inviano SPAM (visualizza wikitesto)

Versione delle 19:43, 9 ott 2017

988 byte aggiunti , 9 ott 2017

→‎Configurazione di PHP

Ferdybassi

Burocrati, Amministratori

4 069

contributi

@@ Riga 1: / Riga 1: @@
+{{Versioni compatibili|Wheezy|Jessie|Stretch}}
 __TOC__
 == Introduzione ==
-Quando un sito in PHP viene viene utilizzato per inviare tonnellate di email di SPAM tramite una qualche vulnerabilità nel codice, la prima cosa che si deve affrontare, oltre alla pulizia della coda di postfix, è l’individuazione dello script PHP responsabile.
+Quando un sito in PHP viene viene utilizzato per inviare tonnellate di email di SPAM tramite una qualche vulnerabilità nel codice, la prima cosa che si deve affrontare, oltre alla pulizia della coda di postfix, è l’individuazione dello [[script]] PHP responsabile.
 <br/>
-Le cose si fanno più difficili quando sul nostro server sono presenti decine di Virtual Host, poichè il file colpevole dell’invio di spam diventa difficilmente identificabile.
+Le cose si fanno più difficili quando sul nostro server sono presenti decine di Virtual Host, poichè il file colpevole dell’invio di [[spam]] diventa difficilmente identificabile.
 <br/>
 Possiamo però modificare il comportamento di default di PHP per l'invio di email, istruendolo a tenere traccia di tutti gli invii effettuati in un file di log, che potremo poi consultare alla ricerca dello script colpevole.
@@ Riga 18: / Riga 19: @@
 # Logging sendmail wrapper
-SENDMAIL="/usr/sbin/sendmail"
+SENDMAIL="/usr/sbin/sendmail -t"
 LOGFILE="/var/log/mail_php.log"
@@ Riga 42: / Riga 43: @@
 <pre>
 # touch /var/log/mail_php.log
-# chmod 770 /var/log/mail_php.log
+# chown root:adm /var/log/mail_php.log
+# chmod 662 /var/log/mail_php.log
 </pre>
 Ora istruiamo PHP a fare uso del nuovo script:
 <pre>
 # nano /etc/php5/apache2/php.ini
+</pre>
+Da '''Debian Stretch''' il file da modificare è:
+<pre>
+# nano /etc/php/7.0/apache2/php.ini
 </pre>
 modificando le istruzioni:
@@ Riga 61: / Riga 67: @@
 ;sendmail_path =
 </pre>
-in
+in:
 <pre>
 [mail function]
@@ Riga 74: / Riga 80: @@
 sendmail_path = /usr/local/bin/sendmail-php
 </pre>
-Se usate PHP come CGI, con SUPHP o FCGI, modificate alla stessa maniera anche il file <tt>/etc/php5/cgi/php.ini</tt>.
+Se usate PHP come CGI, con SUPHP o FCGI, modificate alla stessa maniera anche il file <code>/etc/php5/cgi/php.ini</code>.
+<br/>
+<br/>
+Aggiungiamo una configurazione per [[Logrotate]], in modo da non trovarci il server intasato di log:
+<pre>
+# nano /etc/logrotate.d/sendmail-php
+</pre>
+di contenuto:
+<pre>
+/var/log/sendmail.log {
+    weekly
+    rotate 4
+    compress
+    delaycompress
+    missingok
+    create 662 root adm
+}
+</pre>
 <br/>
 Riavviamo Apache per fargli digerire le modifiche:
 <pre>
 # /etc/init.d/apache2 restart
+</pre>
+Da '''Debian Stretch''':
+<pre>
+# systemctl reload apache2
 </pre>
@@ Riga 99: / Riga 126: @@
 e verifichiamo nei log che l'invio sia stato tracciato correttamente:
 <pre>
+# cat /var/log/mail_php.log
+-03-12 09:24:29: /var/www sends e-mail To: yourname@yourdomain.com
+-03-12 09:24:31: /var/www sends e-mail To: yourname@yourdomain.com
+-03-12 09:25:50: /var/www sends e-mail To: yourname@yourdomain.com
+</pre>
-</pre>
+{{Autori
+|Autore = [[Utente:Ferdybassi|Ferdybassi]] 09:31, 15 mar 2014 (CEST)
+}}
+[[Categoria:Firewall]]
+[[Categoria:Monitoraggio]]
+[[Categoria:Antispam&Content filtering]]