Найдите скрипт php, который отправляет письма

Есть ли способ для меня, чтобы найти PHP-скрипт, который отправляет электронные письма.

У меня есть apache + php (без mod_suphp и suexec) в «стандартной» установке, и я хочу узнать, что php-скрипт ведьмы отправляет электронные письма, когда я проверяю логи, я просто вижу uid пользователя, отправляющего электронные письма (в мой случай apache) но я хочу выяснить сценарий, который создал письмо.

Это возможно, или я должен установить suexec или mod_suphp, чтобы отслеживать это?

Спасибо за помощь.

PHP 5.3 был выделен для улучшения отслеживания почты, но я не уверен, что это произошло. (edit: yes В php 5.3 встроено ведение журналов - в php.ini есть переменная config mail.log, которая будет регистрировать использование почты из кода php.)

Мы решили проблему, сделав sendmail сценарием оболочки оболочки.

В php.ini установлен новый почтовик. Например:

sendmail_path = /usr/local/bin/sendmail-php -t -i

Сценарий sendmail-php просто использует logger для получения информации, а затем вызывает системный sendmail:

#!/bin/bash

logger -p mail.info -t sendmail-php "site=${HTTP_HOST}, client=${REMOTE_ADDR}, script=${SCRIPT_NAME}, filename=${SCRIPT_FILENAME}, docroot=${DOCUMENT_ROOT}, pwd=${PWD}, uid=${UID}, user=$(whoami)"

/usr/sbin/sendmail -t -i $*

Это приведет к регистрации того, что задано для mail.info в файле syslog.conf.

Еще одно предложение - установить расширение suhosin php, чтобы сократить количество лазеек в PHP, если вы не используете Debian или Ubuntu, где это уже используется по умолчанию.

Решение этого на самом деле требует нескольких шагов. Приведенное выше решение labradort на самом деле не работает, так как скрипт logger - это скрипт bash, а не php, а скрипт bash не имеет доступа к переменным php, поэтому журналы выходят пустыми. По сути, все, что вы хотите зарегистрировать, необходимо сохранить в переменных среды в php до отправки электронного письма, чтобы регистратор имел доступ к данным. Поскольку вы пытаетесь обнаружить сценарии других пользователей, не обязательно ваши собственные, вы не можете контролировать код php, поэтому вам нужно использовать функцию PHP auto_prepend_file, чтобы гарантировать, что все исполняемые php запускают ваш код инициализации перед всем остальным. Я добавил следующий код через php.ini, чтобы убедиться, что у меня есть данные, которые мне нужны в логгере:

<?php
/**
 * This passes all SERVER variables to environment variables, 
 * so they can be used by called bash scripts later
 */
foreach ( $_SERVER as $k=>$v ) putenv("$k=$v");
?>

Я собрал полное руководство о том, как заставить это работать здесь: http://mcquarrie.com.au/wordpress/2012/10/tracking-down-malicious-php-spam-scripts/

Существует патч для PHP, который показывает, какой скрипт генерирует электронные письма, добавляя заголовок к отправляемому письму. Я не проверял это, так как я не увлечен исправлением ядра PHP, но я слышал хорошие вещи.

Вам нужно будет найти в журналах доступа что-то, соответствующее времени, когда сообщения были добавлены в спул.

Может быть, просто искать в исходных файлах подстроку «mail (»)?

Просто включите их на своем php.ini

mail.add_x_header = On
mail.log = /var/log/phpmail.log

затем создайте этот файл и дайте разрешение на запись. Посмотрите на это после этого.