读取从Hostway发送的电子邮件的访问日志

Question

我们客户的网站在Hostway托管。他们向我们发送了一封关于网站违规的电子邮件。他们给了我们这个。

Infected Files:

Disabled:
/home/14/11/1011114/web/backup-Sept-15-2015/modules/nuSOAP/lang:
---------- 1 root root 154976 Mar 24 13:48 info13.php

/home/14/11/1011114/web/wp-content/themes/twentyfifteen:
---------- 1 root root 448988 Mar 27 12:40 404.php

/home/14/11/1011114/web/losa-app-download/includes:
---------- 1 root root 10496 Mar 24 13:48 test95.php

/home/14/11/1011114/web/backup-Sept-15-2015/losa/admin:
---------- 1 root root 10816 Mar 24 13:48 session43.php

证据：

Spam Example:
204P Received: from sample0con by lsh1018.lsh.siteprotect.com with local (Exim 4.80)
(envelope-from <josephine_fox@sample-consulting.com>)
id 1akYj1-00033B-O3
for mrc24@aol.com; Mon, 28 Mar 2016 10:05:03 -0500 018T To: mrc24@aol.com
039 Subject: Quickie With a Girl Next Door
038 Date: Mon, 28 Mar 2016 10:05:03 -0500 056F From: Josephine Fox <josephine_fox@sample-consulting.com>
067I Message-ID: df8f0ea4b44afb61b35b27009c59c745@sample-consulting.com
014 X-Priority: 3
068 X-Mailer: PHPMailer 5.2.9 (https://github.com/PHPMailer/PHPMailer/)
018 MIME-Version: 1.0
085 Content-Type: multipart/alternative;
boundary="b1_df8f0ea4b44afb61b35b27009c59c745"
032 Content-Transfer-Encoding: 8bit
1akZPP-0006KC-2P-H
pcms0con 1011114 1011114
<arlene_mann@sample-consulting.com>
1459180131 0
-ident pcms0con
-received_protocol local
-body_linecount 36
-max_received_linelength 119
-auth_id pcms0con
-auth_sender sample0con@lsh1018.lsh.siteprotect.com
-allow_unqualified_recipient
-allow_unqualified_sender
-local
-sender_set_untrusted
XX
1
wahid.rotormas@gmail.com

我猜我们的网站遭到黑客入侵，现在正在发送垃圾邮件。 电子邮件包含

  

主题：快乐与隔壁的女孩

     

日期：星期一，2016年3月28日10:05:03 -0500

     

来自：Josephine Fox＆lt;“josephine_fox@sample-consulting.com”＆gt;

我们没有任何名称和电子邮件的用户。 另外，他们给了我们如下的日志。

访问日志：

85.128.142.15 - - [28/Mar/2016:11:17:11 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
50.87.144.56 - - [28/Mar/2016:11:17:46 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
72.167.190.158 - - [28/Mar/2016:11:19:15 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
173.254.28.126 - - [28/Mar/2016:11:21:21 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
199.182.223.68 - - [28/Mar/2016:11:23:26 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.193.208 - - [28/Mar/2016:11:25:30 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
93.125.99.15 - - [28/Mar/2016:11:25:40 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 200 69
184.168.200.158 - - [28/Mar/2016:11:25:56 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
81.17.254.94 - - [28/Mar/2016:11:27:34 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15
217.16.9.212 - - [28/Mar/2016:11:29:39 -0500] "POST /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php HTTP/1.0" 403 15

这是我需要关注的地方。我想知道如何解释这些日志。据我所知，如下：

• 85.128.142.15 - IP
• [28 / Mar / 2016：11：17：11 - 参赛日期和时间
• -0500 - 网络服务器位于美国中部夏令时
• POST - 访问请求
• 200和403 - 结果状态代码
• 69 - 转移字节

如何理解这个？

• /backup-Sept-15-2015/modules/nuSOAP/lang/info13.php - 这是发送电子邮件的网址吗？
• 发送电子邮件的日志上有 IP 吗？

如何知道某个日志是否正在发送电子邮件？是否有某种安排要注意电子邮件日志？

Answer 1

这些是来自http服务器访问日志文件的日志条目，它们描述了http请求，而不是电子邮件事件。这些请求源自当今典型的不同地址：此类僵尸站点由分布式僵尸网络用于其目的。这使得识别背后的人更加困难。您在请求中看到的路径是用于访问服务器的API的端点，这看起来像您的站点提供的SOAP API。

SMTP日志的问题并不容易回答。这实际上取决于你的php脚本如何发送消息。必须考虑4种主要变体：

1. 您在该系统上运行本地SMTP服务器，这可能确实为您提供了邮件的日志文件。在这种情况下，日志文件的位置取决于您使用的服务器软件，例如exim或postfix。您将不得不检查服务器配置文件，或者只是在保留日志文件的文件夹下挖掘一下，通常类似于/var/log/...。然而，这种变体不太可能，因为你写道你正在使用一些托管公司。使用本地运行的SMTP服务器需要完全控制系统，因此root访问。如果你有，你会知道： - ）

2. 使用phps mail()函数在php中配置的标准路由发送消息。在这种情况下，它显然取决于该路由实际指向的SMTP中继服务器的配置，但很可能不是在本地系统上运行的服务器。这意味着您必须保留运行SMTP服务器的远程系统的日志文件。这个可能是您的托管公司提供的系统，但这不太可能，因为他们会冒险将他们的系统一次又一次地放在黑名单上。无论如何，您必须与您的托管公司核实此事。

3. 最有可能的情况是使用一些可用于php的SMTP客户端类发送消息。那些提供了更灵活的消息处理，这就是为什么它们通常比内置函数更受欢迎的原因。在这种情况下，类配置/初始化定义了哪个SMTP服务器用作中继，因此您必须查看PHP脚本以获取该信息。与选项2一样，这几乎肯定不是本地运营的服务器，而是一些典型的中继，如GMail或Mandrill。然后，您无法获得日志文件，除非您与这些公司签订了特定合同，您也会知道： - ）

4. 作为选项3的变体，攻击者可能会覆盖或替换给定的配置并提供自己的连接详细信息。这很有可能，因为攻击者显然在您的系统中成功执行了注入的代码。所以他可以或多或少做他想做的事。在这种情况下，您可能会或可能无法找到这些详细信息的痕迹......

但坦率地说，我不明白为什么你对这些日志条目感兴趣，或者更好地了解这些消息的发送地址。

请记住，在这种情况下，典型的攻击者不使用与受攻击网站相关的地址。相反，通常使用通过抓取公共网站（如论坛）（因此任意，被盗的地址）或通过猜测＆＃34;来收集的地址目录。地址，因此将典型的帐户名称与互联网上免费提供的已知域名相结合。您对此不感兴趣，因为如果您的控制完全没有，并且根本不与您或您的业务联系。