>[оверквотинг удален] >>>> Но найти скрипт быстро - это возможно. нужно лишь полностью понимать с >>>> чем мы работаем, из ваших описаний, это не понятно. >>> Как с чем работаем, с горой сайтов. То есть под апачем итк >>> крутиться гора сайтов, под разными пользователями. То есть в сумме больше >>> 10к файлов php. >>> Система Centos. Если нужны еще какие то вводные, дайте знать. >> Скрипт на shell-awk легко подсчитает расход траффика по пользователям. > А это то тут причем? > Вопрос в том, как найти тот скрипт, который генерирует вредоносные исходящие HTTP > запросы.1) включаешь логирование исходящих в файрволле, находишь пользователя, от которого идут запросы. 2) Если все пхп скрипты крутятся от общего пользователя www-data - ССЗБ. 3) Далее анализируешь запросы, поступающие к веб-серверу к скриптам этого пользователя, анализируешь сами скрипты пользователя. Если лениво - тупо блокируешь пользователя либо полностью либо на исходящие соединения.
|