Вы здесь

Боремся со спамом

Для отслеживания действий злоумышленника изменим немного конфигурацию web сервера:

1. создан файл /usr/sbin/sendmail-wrapper
c контентом

#!/bin/sh
logger -p mail.info sendmail-wrapper: site=${HTTP_HOST},script=${PWD}${SCRIPT_NAME}, uid=${UID}, user=$(whoami)
        /usr/sbin/sendmail -t -i $*

и присвоен chmod 755 /usr/sbin/sendmail-wrapper

2. Далее создан файл /var/www/html/set_wrapper_envs.php

<?php
putenv("HTTP_HOST=".@$_SERVER["HTTP_HOST"]);
putenv("SCRIPT_NAME=".@$_SERVER["SCRIPT_NAME"]);
putenv("DOCUMENT_ROOT=".@$_SERVER["DOCUMENT_ROOT"]);
?>

присвоен chmod 777 /var/www/html/set_wrapper_envs.php        
        

3. В файл /etc/php.ini
изменено значение параметра строка 1031 sendmail_path = /usr/sbin/sendmail -t -i
на
sendmail_path = /usr/sbin/sendmail-wrapper

и добвлена строка в самый конец файла строка 1658
auto_prepend_file="/var/www/html/set_wrapper_envs.php"

4. В файле тем самым в с
/var/log/maillog

будут строчки c содержание  sendmail-wrapper
Feb 25 23:57:26 web-server roman: sendmail-wrapper: site=wiki.daisoon.com,script=/usr/local/share/server/wiki/mailme.php, uid=48, user=apache
указывающие на php скрипт и домен с которого отправляется почтка через функцию PHP Mail.