بررسی لاگ‌های دسترسی آپاچی برای کشف فعالیت‎های مخرب نظیر Spam و Burst attack

بررسی ماژول‌های موجود آپاچی

# cd /etc/httpd/modules
# file *.so

بررسی ماژول‌های فعال آپاچی

$ httpd -M

بررسی کنید ماژول‌های log_config_module و logio_module فعال باشند.

در cPanel فایل‌های لاگ در مسیر /etc/httpd/logs ذخیره می‌شوند. یکی از این فایل‌ها suphp_log است. با بررسی آن متوجه اجرای برخی اسکریپت‌ها با نام‌های نامربوط می‌شوید.

$ tail -n 100 /etc/httpd/logs/suphp_log

یک راه برای پیداکردن IP صدا زننده آنها استفاده از قطعه کد زیر در ابتدای فایل است.

$_SERVER['REMOTE_ADDR'] = $_SERVER["HTTP_CF_CONNECTING_IP"] ? $_SERVER["HTTP_CF_CONNECTING_IP"] : $_SERVER["REMOTE_ADDR"];

$endpoint = 'http://api.rastasoft.ir/v1/security/abuseip/index.php';
$endpoint .= "?operation=report&ip={$_SERVER['REMOTE_ADDR']}";

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $endpoint);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
print $result = curl_exec($ch);
curl_close($ch);
die();

این دستور در پیداکردن فایل های آلوده در حال اجرا کمک میکند

grep "/home\/.*\/.*\/.*\/.*\/.*\/" suphp_log

افزودن نظر جدید