我正在用一些托pipe的网站pipe理一个Win Server 2008系统。 最近我发现有东西通过我们的SMTP服务器发送垃圾邮件。 日志表明连接正在进行到我们的localhost端口25 SMTP服务器…它被configuration为允许未经身份validation的中继。 我们现在要求身份validation,即使在127.0.0.1:25,所以传出的垃圾邮件被阻止,但连接尝试继续。
我的猜测是,我们客户的一个网页脚本被黑客入侵,并被用来通过我们的SMTP服务器转发垃圾邮件。
有什么工具可以用来确定哪个进程,或者更好的是,哪个可执行文件正在连接到特定的Web端口?
我已经查看了Windows防火墙日志,正如此服务器故障问题中所build议的那样,但是没有列出正在进行连接的进程ID。
当然,我可能在这里咆哮错误的树,所以任何其他的build议也将不胜感激。
netstat -b -o列出networking连接,进程和PID – 你应该能够找出哪个IIS工作进程正在做所有的端口25连接。
你确定你的服务器不再中继垃圾邮件吗? 如果你确定它没有,那么问题可能只是它是一个开放的中继。 但是,如果您觉得某些网站可能允许以其他方式发送垃圾邮件,请继续阅读。
您可能需要考虑您的服务器是否被盗用,在这种情况下,请按照上面标记为可能重复的文章中的build议进行操作。
但是,您认为您的某个用户的脚本很有可能是原因,原因可能是被黑客入侵,或者更有可能是因为电子邮件注入types的攻击而编写得不好。
为了防止您的服务器被列入黑名单,影响您的所有客户,您应该尽快阻止端口25上的所有传出stream量,以防止垃圾邮件stream出。
那么你将不得不审计服务器上的所有脚本,以确保它们不容易受到这种types的攻击。 有关如何保护PHP脚本的详细信息,请参阅安全性上的这个问题。
你可以使用一些networking嗅探工具,它将指出哪一个发送什么进程级别。 你也可以过滤,如果需要的话。
some examples: network monitor 3.4 (microsoft) outdated, but works well. fiddler ... (other most probably)
给networking监视器一个尝试,在15分钟内你知道下一步看什么。