我们的服务器已被黑客攻击,我试图找出原因。 该服务器是为了SPAM的目的,它看起来像IIS正在使用发送电子邮件作为坏邮件和队列文件夹已满到突发。 发送的邮件已经把x-Mailer头设置为“The Bat!”,我可以检查的任何想法? 我已经检查了最常用的传入端口(0-1055和只有HTTP / HTTPS)是否打开。
雇用一名专业人员,如果find原因可能是任何事情都很重要。 拔下networking插头,尽快擦拭并重新加载服务器 – 如果不是绝对需要原始状态进行调查,请立即拔下插头。
除了显而易见的垃圾邮件之外, 不可能告诉我们安装了什么其他的东西,比如rootkit,或者从服务器到外面的通信是什么,埋藏在从dns请求到什么东西的任何地方。
入站的开放端口通常不是现在的攻击媒介,但是如果这个版本的IIS存在漏洞,或者是在那些smtp和http端口上监听的话,那很容易。 修补程序pipe理问题和较弱的内部安全性,比如容易受损的工作站,通过networking访问服务器似乎是其他可能的原因。
从第一个关于标题的维基百科search结果:
许多垃圾邮件确实将“X-Mailer”标题字段设置为“The Bat!”,但这是因为它是高级群发程序中的默认设置之一,该程序经常用于发送垃圾邮件。
首先停止SMTP服务,这将停止任何进一步的活动。 接下来,删除坏邮件和队列文件夹中的邮件。 最后,检查SMTP服务的configuration,确保closures它以打开中继。 重新启动SMTP服务并检查它的连接,如果存在,请查看它们来自哪里,并再次检查文件夹是否通过它传递的消息。
这是一个Windows服务器? 什么SMTP平台,IIS? 如果是这样,什么版本(5,6,7)? 这是一个Exchange服务器?