Знайдіть скрипт php, який надсилає пошту

Чи є мені спосіб знайти скрипт php, який надсилає електронні листи.

У мене є апаш + php (ні mod_suphp, ні suexec) в "стандартній" установці, і я хочу дізнатися, що відьом PHP-скрипт надсилає електронні листи, коли я перевіряю журнали, я просто бачу uid користувача, який надсилає електронні листи (в мій випадок апачі), але я хочу дізнатися сценарій, який виник з електронної пошти.

Чи можливо це, або я повинен встановити suexec або mod_suphp, щоб зберегти trac цього?

Думає про допомогу.

php 5.3 був прорізаний для кращого відстеження пошти, але я не впевнений, чи це сталося. (редагувати: так, у php 5.3 тепер вбудований журнал - php.ini має конфігураційну змінну mail.log, яка записуватиме використання пошти з php-коду.)

Ми вирішили проблему, зробивши sendmail скриптом оболонки оболонки.

У php.ini встановили нову пошту. Наприклад:

sendmail_path = /usr/local/bin/sendmail-php -t -i

Сценарій sendmail-php просто використовує реєстратор для отримання інформації, а потім викликає систему sendmail:

#!/bin/bash

logger -p mail.info -t sendmail-php "site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, filename=${SCRIPT_FILENAME}, docroot=${DOCUMENT_ROOT}, pwd=${PWD}, uid=${UID}, user=$(whoami)"

/usr/sbin/sendmail -t -i $*

Це ввійде до того, на що встановлено ваш mail.info у файлі syslog.conf.

Ще одна пропозиція - встановити розширення suhosin php для затягування лазів в PHP, якщо ви не працюєте з Debian або Ubuntu, де це вже за замовчуванням.

Для вирішення цього фактично потрібно кілька кроків. Наведене вище рішення labradort насправді не працює, оскільки скрипт реєстратора - це bash-скрипт, а не php, і скрипт bash не має доступу до змінних php, тому журнали виходять порожніми. В основному все, що ви хочете записати, потрібно зберегти до змінних оточення у php перед відправкою електронного листа, щоб реєстратор мав доступ до даних. Оскільки ви намагаєтеся виявити сценарії інших користувачів, не обов'язково власні, у вас немає контролю над php-кодом, тому вам потрібно використовувати функцію auto_prepend_file PHP, щоб гарантувати, що всі виконані php запускають ваш код ініціалізації перед усім іншим. Я заздалегідь запропонував наступний код через php.ini, щоб переконатися, що мені потрібні дані в реєстраторі:

<?php
/**
 * This passes all SERVER variables to environment variables, 
 * so they can be used by called bash scripts later
 */
foreach ( $_SERVER as $k=>$v ) putenv("$k=$v");
?>

Я зібрав повний підручник про те, як налагодити цю роботу тут: http://mcquarrie.com.au/wordpress/2012/10/tracking-down-malicious-php-spam-scripts/

Існує патч для PHP, який покаже, який сценарій генерує електронні листи, додаючи заголовок до відправленого електронного листа. Я не перевіряв його, оскільки не прагну до виправлення ядра PHP, але чув хороші речі.

Вам доведеться зірвати журнали доступу за те, що відповідає терміну, коли повідомлення були додані до котушки.

Може бути лише пошук у вихідних файлах для "post (" substring)?

Просто увімкніть їх на своєму php.ini

mail.add_x_header = On
mail.log = /var/log/phpmail.log

потім створіть цей файл і дайте дозвіл на запис. Погляньте на це після цього.