Tìm tập lệnh php gửi thư

Có cách nào để tôi tìm tập lệnh php đang gửi email không.

Tôi có apache + php (không có mod_suphp cũng không suexec) trong bản cài đặt "chuẩn" và tôi muốn tìm hiểu tập lệnh php phù thủy đang gửi email, khi tôi kiểm tra nhật ký tôi chỉ thấy uid của người dùng đang gửi email (trong trường hợp của tôi apache) nhưng tôi muốn tìm hiểu kịch bản bắt nguồn từ email.

Có thể hoặc tôi phải cài đặt suexec hoặc mod_suphp để giữ trac điều đó?

Thks cho sự giúp đỡ.

php 5.3 đã được thiết kế để có được dấu vết thư tốt hơn, nhưng tôi không chắc điều đó có xảy ra không. (chỉnh sửa: có php 5.3 đã đăng nhập được xây dựng ngay bây giờ - php.ini có biến cấu hình mail.log sẽ ghi nhật ký sử dụng thư từ mã php.)

Chúng tôi đã giải quyết vấn đề bằng cách biến sendmail thành tập lệnh shell shell.

Trong php.ini đặt một trình gửi thư mới. Ví dụ:

sendmail_path = /usr/local/bin/sendmail-php -t -i

Tập lệnh sendmail-php chỉ cần sử dụng logger để lấy thông tin và sau đó gọi sendmail của hệ thống:

#!/bin/bash

logger -p mail.info -t sendmail-php "site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, filename=${SCRIPT_FILENAME}, docroot=${DOCUMENT_ROOT}, pwd=${PWD}, uid=${UID}, user=$(whoami)"

/usr/sbin/sendmail -t -i $*

Điều này sẽ đăng nhập vào bất cứ điều gì mail.info của bạn được đặt thành trong tệp syslog.conf.

Một đề xuất khác là cài đặt phần mở rộng php suhosin để thắt chặt các lỗ hổng trong PHP, trừ khi bạn đang chạy Debian hoặc Ubuntu, nơi đây đã là mặc định.

Giải pháp cho việc này thực sự cần một vài bước. Giải pháp của labradort ở trên không thực sự hoạt động vì tập lệnh logger là tập lệnh bash, không phải php và tập lệnh bash không có quyền truy cập vào các biến của php, vì vậy các bản ghi bị trống. Về cơ bản, bất cứ điều gì bạn muốn đăng nhập đều cần được lưu vào các biến môi trường trong php trước khi gửi email để logger có quyền truy cập vào dữ liệu. Vì bạn đang cố gắng phát hiện các tập lệnh của người dùng khác, không nhất thiết là tập lệnh của riêng bạn, bạn không có quyền kiểm soát mã php, vì vậy bạn cần sử dụng tính năng auto_prepend_file của PHP để đảm bảo rằng tất cả php đã thực thi chạy mã khởi tạo của bạn trước mọi thứ khác. Tôi đã chuẩn bị mã sau thông qua php.ini để đảm bảo tôi có dữ liệu tôi cần trong logger:

<?php
/**
 * This passes all SERVER variables to environment variables, 
 * so they can be used by called bash scripts later
 */
foreach ( $_SERVER as $k=>$v ) putenv("$k=$v");
?>

Tôi tập hợp một hướng dẫn đầy đủ về cách để làm việc này ở đây: http://mcquarrie.com.au/wordpress/2012/10/tracking-down-malicy-php-spam-scripts/

Có một bản vá cho PHP sẽ hiển thị tập lệnh nào đang tạo email bằng cách thêm tiêu đề vào email được gửi. Tôi đã không kiểm tra nó vì tôi không thích vá PHP lõi, nhưng tôi đã nghe thấy những điều tốt.

Bạn sẽ phải grep các nhật ký truy cập cho một cái gì đó phù hợp với khung thời gian khi các tin nhắn được thêm vào ống chỉ.

Có thể chỉ tìm kiếm thông qua các tập tin nguồn cho chuỗi con "mail ("?

Chỉ cần kích hoạt những thứ này trên php.ini của bạn

mail.add_x_header = On
mail.log = /var/log/phpmail.log

sau đó tạo tập tin đó và cho phép ghi. Hãy để mắt đến nó sau đó.