Localizar archivo “.php” malicioso que genera el ataque spam

Primero verificaremos que tenemos activada la opción que nos permitirá encontrar el archivo “.php” malicioso. Para ello abrimos el archivo “php.ini” ubicado en “/etc/php5/apache2/php.ini” y nos aseguramos que las líneas “mail.add_x_header=On” y “mail.log=/var/log/phpmail.log” están descomentadas:

phpiniconf

  • mail.add_x_header=On: Añade a todos los mails salientes una cabecera que indica el archivo “.php” que genera el mail, el identificador del mensaje (UID), fecha, etc.
  • mail.log=/var/log/phpmail.log: Ruta en la que se guardarán los logs.

Si están comentadas, las descomentamos y reiniciamos el servidor apache: “apache2ctl graceful”

Ahora que sabemos que el servidor está guardando los logs, ya podemos abrir el archivo phpmail.log: “nano /var/log/phpmail.log“.

En el archivo podemos ver:

  • Ubicación del archivo “.php” que genera el SPAM:ruta
  • Destinatario, fecha, correo de origen:fecha

Si abrimos el archivo “.php” encontraremos algo parecido a esto:

codigo

Finalmente eliminamos el archivo “.php” malicioso.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies