postfix y php5 formulario o script malicioso (Solucionado)

Todos los comentarios sobre redes y servidores en linux y su interacción con otros sistemas operativos.

Moderadores: doc, Kde_Tony, ps-ax

Responder
Avatar de Usuario
elhui2
Forista Medio
Forista Medio
Mensajes: 362
Registrado: Vie Abr 11, 2008 7:00 am
Ubicación: D.Fectuoso
Contactar:

postfix y php5 formulario o script malicioso (Solucionado)

Mensaje por elhui2 » Mar Jul 30, 2013 8:26 pm

Hola:

En la empresa tenemos un servidor LAMP con Cent OS, nuestro servidor de correos es postfix, el problema esta así: Cada 4 horas aproximadamente se juntan en la cola de correos al rededor de 1500 correos, todos los correos provienen de apache@dominio.com es decir son enviados a traves de un script php que hay en httpdocs.

No puedo saber cual es el formulario vulnerado o "crackeado" por que son muchisimos los scripts php que utilizan la funcion mail(), revise los logs en /var/log pero no me muestra errores.

¿ Como puedo ver de que formulario o script se estan enviando los correos ?

Necesito eliminar ese script o pedirle al cliente que lo modifique xD pero no se cual es.

¿Existe en postfix algun modo de autentificacion local??

Datos del server.
CentOS Linux release 6.0
PHP 5.3.17 (cli) (built: Sep 18 2012 13:11:20)
Postfix mail_version = 2.6.6
Si necesitan algun dato extra ...

Espero puedan echarme una mano.
Saludos.

==========>SOLUCION<=============

Encontre mi solucion, espero les sirva :)

Lo primero que hice fue editar el fichero /etc/php.ini especificamente estas directivas:

Código: Seleccionar todo

#Aqui agrego un header con el script que envia el correo
mail.add_x_header = On
#Aqui agrego un nuevo "log" para ver los eventos mas detallados
mail.log = /var/log/phpmail.log
despues reinicie el servicio httpd

Código: Seleccionar todo

service httpd restart
a partir de estos cambios todos los correos que salen por apache y php5 que utilizan la funcion mail() tienen este header

Código: Seleccionar todo

X-PHP-Originating-Script: 56:algunScript.php
note que habian 1500 correos de algunScript.php asi que ese es el php que genera el spam, lo elimine y listo... Pueden dejar el header o comentarlo creo que no afecta en nada y puede servir para monitorear las salidas de correo.

Si tienen algo mejor compartan. ;)
Saludos Foreros, un lujo pertenecer a la comunidá de EL.
No te establezcas en una forma, adáptala y construye la tuya propia, y déjala crecer, sé como el agua. Vacía tu mente, se amorfo, moldeable, como el agua. B.L.
Mi Blog
Avatar de Usuario
Diabliyo
Forista Medio
Forista Medio
Mensajes: 372
Registrado: Jue Abr 29, 2004 7:00 am
Contactar:

Re: postfix y php5 formulario o script malicioso (Solucionado)

Mensaje por Diabliyo » Mar Sep 17, 2013 2:46 am

Buenas....

Esa del header no sabia que tenias que activarlo, de echo he verificado mi php.ini y lo trae activado por defecto, se me hace raro que te viniera off !

Saludos !
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje