Для отслеживания действий злоумышленника изменим немного конфигурацию web сервера:
1. создан файл /usr/sbin/sendmail-wrapper
c контентом
#!/bin/sh
logger -p mail.info sendmail-wrapper: site=${HTTP_HOST},script=${PWD}${SCRIPT_NAME}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail -t -i $*
и присвоен chmod 755 /usr/sbin/sendmail-wrapper
2. Далее создан файл /var/www/html/set_wrapper_envs.php
<?php
putenv("HTTP_HOST=".@$_SERVER["HTTP_HOST"]);
putenv("SCRIPT_NAME=".@$_SERVER["SCRIPT_NAME"]);
putenv("DOCUMENT_ROOT=".@$_SERVER["DOCUMENT_ROOT"]);
?>
присвоен chmod 777 /var/www/html/set_wrapper_envs.php
3. В файл /etc/php.ini
изменено значение параметра строка 1031 sendmail_path = /usr/sbin/sendmail -t -i
на
sendmail_path = /usr/sbin/sendmail-wrapper
и добвлена строка в самый конец файла строка 1658
auto_prepend_file="/var/www/html/set_wrapper_envs.php"
4. В файле тем самым в с
/var/log/maillog
будут строчки c содержание sendmail-wrapper
Feb 25 23:57:26 web-server roman: sendmail-wrapper: site=wiki.daisoon.com,script=/usr/local/share/server/wiki/mailme.php, uid=48, user=apache
указывающие на php скрипт и домен с которого отправляется почтка через функцию PHP Mail.