ดูแบบนี้ ผมก็ งง ครับ
จากกระทู้นี้
http://www.thaiseoboard.com/index.php/topic,318837.0.html เว็บผมโดน Mulware เจาะเข้ามาใส่คำสั่ง php แปลกๆในไฟล์ของ Wordpress น่าจะส่งข้อมูลบางอย่างไปที่ -http://mbrowserstats.com/statH/stat.php ผมดูไม่เป็นจริงๆครับ แต่ตอนนี้กลัวสุดๆ มันยังมี Log อะไรไม่รู้แปลกๆโผล่มาอยู่ตลอดเลยครับ ผมเปิดดูใน Log Viewer ของ Direct Admin แต่ก็ตีความไม่ออกไม่รู้เรื่องครับ ใครอ่านเป็นช่วยผมทีครับ เว็บก็ดูช้าๆมาหลายวันแล้วครับ ทั้งๆที่แรมก็เหลือเยอะ Load ก็ไม่มาก คนเข้าก็ไม่มากนัก สุดท้ายเข้าหน้าแรกไม่ได้เลยครับ ขาวเลย ผมเลยโหลด index.php มาดู โดนให้เข้าแล้ว :'(
Log แรก เป็น Exim Main Log2013-05-12 05:10:16 H=u042.d221171210.ctt.ne.jp (210.171.221.42) [210.171.221.42] F=<> rejected RCPT <gesarin@myusername.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 05:10:17 H=u042.d221171210.ctt.ne.jp (210.171.221.42) [210.171.221.42] incomplete transaction (connection lost) from <>
2013-05-12 05:10:17 unexpected disconnection while reading SMTP command from u042.d221171210.ctt.ne.jp (210.171.221.42) [210.171.221.42]
2013-05-12 08:27:04 H=ip-89-249-182-218.static.adsl.cheapnet.it (89.249.182.218) [89.249.182.218] F=<> rejected RCPT <gesarin@myusername.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 08:27:04 H=ip-89-249-182-218.static.adsl.cheapnet.it (89.249.182.218) [89.249.182.218] incomplete transaction (connection lost) from <>
2013-05-12 08:27:04 unexpected disconnection while reading SMTP command from ip-89-249-182-218.static.adsl.cheapnet.it (89.249.182.218) [89.249.182.218]
2013-05-12 10:29:30 H=outmail001.snc7.facebook.com (mx-out.facebook.com) [69.171.232.135] F=<invite+Ad29yZHByZXNzQHRoYWlnYW1lY2l0eS5jb20@facebookmail.com> rejected RCPT <wordpress@myusername.com>:
2013-05-12 10:29:30 H=outmail001.snc7.facebook.com (mx-out.facebook.com) [69.171.232.135] incomplete transaction (connection lost) from <invite+Ad29yZHByZXNzQHRoYWlnYW1lY2l0eS5jb20@facebookmail.com>
2013-05-12 10:29:30 unexpected disconnection while reading SMTP command from outmail001.snc7.facebook.com (mx-out.facebook.com) [69.171.232.135]
2013-05-12 17:04:40 H=(178.89.135.12) [95.57.66.150] F=<> rejected RCPT <gesarin@myusername.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 17:04:41 H=(178.89.135.12) [95.57.66.150] incomplete transaction (connection lost) from <>
2013-05-12 17:04:41 unexpected disconnection while reading SMTP command from (178.89.135.12) [95.57.66.150]
2013-05-12 18:54:45 1UbUrU-0007Hx-Rl <= diradmin@ns1.myusername.com U=diradmin P=local S=869 T="New Message: Your backups are now ready" from <diradmin@ns1.myusername.com> for admin@ns1.myusername.com
2013-05-12 18:54:45 1UbUrU-0007Hx-Rl => admin <admin@ns1.myusername.com> F=<diradmin@ns1.myusername.com> R=localuser T=local_delivery S=1001
2013-05-12 18:54:45 1UbUrU-0007Hx-Rl Completed
2013-05-12 19:19:29 H=(178.150.90.13) [178.150.90.13] F=<> rejected RCPT <gesarin@myusername.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 19:19:31 H=(178.150.90.13) [178.150.90.13] incomplete transaction (connection lost) from <>
2013-05-12 19:19:31 unexpected disconnection while reading SMTP command from (178.150.90.13) [178.150.90.13]
2013-05-12 20:06:59 H=(2.134.26.162) [2.134.26.162] F=<> rejected RCPT <gesarin@myusername.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 20:07:00 H=(2.134.26.162) [2.134.26.162] incomplete transaction (connection lost) from <>
2013-05-12 20:07:00 unexpected disconnection while reading SMTP command from (2.134.26.162) [2.134.26.162]
2013-05-12 21:06:07 1UbWuc-0003Xt-HA <= admin@myusername.com U=apache P=local S=1287 id=8e41181eae736ca40ccbc62e7da3bc8f@myusername.com T="[http://myusername.com] Site Lockout Notification" from <admin@myusername.com> for myusername@gmail.com
2013-05-12 21:06:07 1UbWuc-0003Xt-HA IPv6 socket creation failed: Address family not supported by protocol
2013-05-12 21:06:07 1UbWuc-0003Xt-HA gmail-smtp-in.l.google.com [2607:f8b0:400e:c01::1b] Address family not supported by protocol
2013-05-12 21:06:11 1UbWuc-0003Xt-HA => myusername@gmail.com F=<admin@myusername.com> R=lookuphost T=remote_smtp S=1311 H=gmail-smtp-in.l.google.com [74.125.129.26] X=TLSv1:RC4-SHA:128 C="250 2.0.0 OK 1368367417 lb5si8390292pbc.210 - gsmtp"
2013-05-12 21:06:11 1UbWuc-0003Xt-HA Completed
2013-05-12 21:17:59 1UbX65-00040i-Jp <= admin@myusername.com U=apache P=local S=1281 id=4bf1cc9e59a0fa50bde4e67f5d67efc1@myusername.com T="[http://myusername.com] Site Lockout Notification" from <admin@myusername.com> for myusername@gmail.com
2013-05-12 21:18:00 1UbX65-00040i-Jp IPv6 socket creation failed: Address family not supported by protocol
2013-05-12 21:18:00 1UbX65-00040i-Jp gmail-smtp-in.l.google.com [2607:f8b0:400e:c03::1a] Address family not supported by protocol
2013-05-12 21:18:04 1UbX65-00040i-Jp => myusername@gmail.com F=<admin@myusername.com> R=lookuphost T=remote_smtp S=1305 H=gmail-smtp-in.l.google.com [74.125.25.27] X=TLSv1:RC4-SHA:128 C="250 2.0.0 OK 1368368130 mr7si8411794pbb.257 - gsmtp"
2013-05-12 21:18:04 1UbX65-00040i-Jp Completed
2013-05-12 21:29:09 1UbXGv-0004F7-NS <= admin@myusername.com U=apache P=local S=1284 id=c10ad13703160f47dc2ce7488216f34b@myusername.com T="[http://myusername.com] Site Lockout Notification" from <admin@myusername.com> for myusername@gmail.com
2013-05-12 21:29:12 1UbXGv-0004F7-NS => myusername@gmail.com F=<admin@myusername.com> R=lookuphost T=remote_smtp S=1308 H=gmail-smtp-in.l.google.com [173.194.79.27] X=TLSv1:RC4-SHA:128 C="250 2.0.0 OK 1368368799 nb4si8427499pbc.324 - gsmtp"
2013-05-12 21:29:12 1UbXGv-0004F7-NS Completed
2013-05-12 22:02:29 1UbXn8-0005dU-HK <= admin@myusername.com U=apache P=local S=1282 id=d702cc9514e646bd25cfb886cd2dfde3@myusername.com T="[http://myusername.com] Site Lockout Notification" from <admin@myusername.com> for myusername@gmail.com
2013-05-12 22:02:32 1UbXn8-0005dU-HK => myusername@gmail.com F=<admin@myusername.com> R=lookuphost T=remote_smtp S=1306 H=gmail-smtp-in.l.google.com [173.194.79.26] X=TLSv1:RC4-SHA:128 C="250 2.0.0 OK 1368370799 o6si8587370pac.109 - gsmtp"
2013-05-12 22:02:32 1UbXn8-0005dU-HK Completed
Log ต่อมาเป็น Exim Reject Log
2013-05-12 05:10:16 H=u042.d221171210.ctt.ne.jp (210.171.221.42) [210.171.221.42] F=<> rejected RCPT <gesarin@mywebsite.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 08:27:04 H=ip-89-249-182-218.static.adsl.cheapnet.it (89.249.182.218) [89.249.182.218] F=<> rejected RCPT <gesarin@mywebsite.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 10:29:30 H=outmail001.snc7.facebook.com (mx-out.facebook.com) [69.171.232.135] F=<invite+Ad29yZHByZXNzQHRoYWlnYW1lY2l0eS5jb20@facebookmail.com> rejected RCPT <wordpress@mywebsite.com>:
2013-05-12 17:04:40 H=(178.89.135.12) [95.57.66.150] F=<> rejected RCPT <gesarin@mywebsite.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 19:19:29 H=(178.150.90.13) [178.150.90.13] F=<> rejected RCPT <gesarin@mywebsite.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
2013-05-12 20:06:59 H=(2.134.26.162) [2.134.26.162] F=<> rejected RCPT <gesarin@mywebsite.com>: Email blocked by SPAMHAUS - to unblock see http://www.example.com/
ต่อมาเป็น System Security Log
May 12 22:01:53 ns1 proftpd[21646]: 112.121.159.152 (62.193.236.16[62.193.236.16]) - USER admin (Login failed): Incorrect password.
Apache Error Log
[Sun May 12 03:16:23 2013] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!?
[Sun May 12 03:16:23 2013] [warn] Init: SSL server IP/port conflict: localhost:443 (/etc/httpd/conf/extra/httpd-vhosts.conf:38) vs. [url=http://www.thejobday.com:443]www.thejobday.com:443[/url] (/usr/local/directadmin/data/users/janie/httpd.conf:54)
[Sun May 12 03:16:23 2013] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sun May 12 03:16:28 2013] [notice] Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8e-fips-rhel5 DAV/2 PHP/5.2.17 configured -- resuming normal operations
[Sun May 12 06:16:50 2013] [error] [client 180.76.5.164] File does not exist: /var/www/html/robots.txt
[Sun May 12 06:16:50 2013] [error] [client 180.76.5.164] File does not exist: /var/www/html/404.shtml
[Sun May 12 16:06:37 2013] [error] [client 180.76.5.26] File does not exist: /var/www/html/robots.txt
[Sun May 12 16:06:37 2013] [error] [client 180.76.5.26] File does not exist: /var/www/html/404.shtml
[Sun May 12 18:10:40 2013] [error] [client 110.171.252.90] request failed: URI too long (longer than 8190)
[Sun May 12 20:44:15 2013] [error] [client 58.8.147.201] File does not exist: /var/www/html/favicon.ico
[Sun May 12 20:44:15 2013] [error] [client 58.8.147.201] File does not exist: /var/www/html/404.shtml
[Sun May 12 22:18:08 2013] [error] [client 171.6.218.176] File does not exist: /var/www/html/favicon.ico
[Sun May 12 22:18:08 2013] [error] [client 171.6.218.176] File does not exist: /var/www/html/404.shtml
ใครอ่านเป็นช่วยผมด้วยครับ :'( เป็นกังวลมากเลย เห็นเหมือนจะมี ip แปลกๆเข้ามาล่าสุดไม่นานมานี้เอง ผมก็ดูไม่เป็น
อยากจะฆ่ามันจริงๆ
พวก Exim เป็นเกี่ยวกับการส่งเมล์ครับ
System Security Log เป็นประวัติการเข้าสู่ระบบ ตามข้อมูล คือเข้าสู่ระบบ FTP ในชื่อ admin ไม่สำเร็จครับ
Apache Error Log จะไปสนใจส่วนที่แสดง Error ทำไมหน๋อ = =
ถ้าใช้ DirectAdmin เข้าไปในส่วนของ Site Summary / Statistics / Logs > Apache Usage Log แล้วเลือกที่จะดูได้เลย ไม่ว่าแบบเต็ม (Full Usage Log) 10 บรรทัด (10 lines) และ 100 บรรทัด (100 lines) ล่าสุดจะขึ้นเป็นบรรทัดที่ 1 แล้วก็มาเรื่อยๆ
วิธีที่ดี ดูว่าไฟลที่ถูกแก้เวลาไหน แล้วเอามาดูคู่กับ Log
ส่วนไฟล์ที่เพิ่มมา กด Ctrl + F ค้นหาได้เลย ว่ามี IP ไหนบ้าง ที่เรียกไฟล์นี้ขึ้นมา