redesb
02/03/2009, 15:45
Hola,
Mis disculpas por ser tan parco, te cuento lo que yo hago a ver si te sirve.
En 1er lugar como te comentaba, miro los logs de correo y veo si localizo los posibles msgs. de spam, normalmente se ve bastante rápido (por la cantidad), a continuación, cotejo la fecha/hora del correo con la fecha/hora que figura en los logs de apache, si como en tu caso sospechas que el spam proviene de scripts.
Normalmente, se encuentra bastante rápido, pues si como dices te han machacado con 20000 msgs., por fuerza debes tener los logs de apache a reventar de llamadas al script ofensor.
Aparte, siempre le hecho un ojo, también, a los dirs. 'tmp' (varios) para ver si han dejado un regalito en forma de script, aunque si tienes declarado los 'tmp' como 'nosuid,nodev,noexec', dificilmente encontrarás algo en ellos, aunque hay maneras de soslayar el inconveniente por parte de los spamers.
P.D. Desde la instalación de 'mod_security' los ataques han bajado a un 10% de los que tenia antes.
Espero te sirva,
Salu2
Mis disculpas por ser tan parco, te cuento lo que yo hago a ver si te sirve.
Publicado inicialmente por Debian Utrera
Normalmente, se encuentra bastante rápido, pues si como dices te han machacado con 20000 msgs., por fuerza debes tener los logs de apache a reventar de llamadas al script ofensor.
Aparte, siempre le hecho un ojo, también, a los dirs. 'tmp' (varios) para ver si han dejado un regalito en forma de script, aunque si tienes declarado los 'tmp' como 'nosuid,nodev,noexec', dificilmente encontrarás algo en ellos, aunque hay maneras de soslayar el inconveniente por parte de los spamers.
P.D. Desde la instalación de 'mod_security' los ataques han bajado a un 10% de los que tenia antes.
Espero te sirva,
Salu2