From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 16 Jan 2006 22:48:07 +0200 From: Michael Shigorin To: ALT Linux Community Message-ID: <20060116204807.GE11208@osdn.org.ua> Mail-Followup-To: ALT Linux Community References: Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: User-Agent: Mutt/1.4.2.1i Subject: [Comm] Re: =?koi8-r?b?89DBzSDP1A==?= httpd X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 16 Jan 2006 20:48:25 -0000 Archived-At: List-Archive: List-Post: On Mon, Jan 16, 2006 at 04:25:42PM +0200, -=DiVeR=- wrote: > Имею такую проблему на хостинг серверах: > Есть апач с поддержкой php (mod_php). Часто бывает ситуация что > хостинг-клиента ломают через его же дырявые скрипты и шлют > через них спам тоннами (10Мб/с), поскольку php у нас не cgi, то > весь процесс происходит от имени пользователя с которым запущен > apache, суть проблемы в том что я не могу отловить кого > поломали и устранить проблему :( Посмотрите на http://sisyphus.ru/srpm/apache-honeypot и mod_security -- дабы по крайней мере затруднить любителям их грязное дело. Вообще лучше перебираться на suexec... > Может есть какой-то способ получать больше информации? > Например может можно как-то выяснять какой именно пхп скрипт > запускает /usr/sbin/sendmail и логировать это? grep wget access.log PS: ещё помогает почитывать bugtraq@ и по крайней мере chmod 0 всякие опять дырявые .php (ADOdb, XMLRPC...). Предупреждая владельцев почтой о причинах. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/