Просмотр SMTP-трафика от IIS7

У меня есть ситуация, когда сервер 2008 года с IIS7 был скомпрометирован на уровне приложения и рассылает спам с порта 25. Мы запустили сканирование на вирусы и удалили зараженные файлы, но спам все еще рассылается.

Мы знаем, что спам исходит из локального файла, поскольку брандмауэр заблокировал входящий порт 25, а журнал SMTP показывает все запросы, поступающие с локального сервера. Мы выполнили сканирование LogParser сайтов (которых много) на наличие любых данных POST в файлы на сервере, но все результаты выглядят подлинными. PID, отправляющий данные на порт 25, — это просто inetinfo.exe, так что это тоже не очень полезно.

Я хотел бы определить, какой файл отправляет это электронное письмо, может ли кто-нибудь придумать способ сделать это?


iis-7 smtp windows-server-2008 virus
person Sierry    schedule 01.10.2012    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы отключили smtp-сервер в свойствах для локального исходящего трафика? значение 127. и т.д...? кроме того, вы заглядывали в папку que в inetpub, чтобы увидеть, есть ли там оскорбительное сообщение? В некоторых случаях файл может изменить удаленный сервер на smtp в IIS для отправки через aproxy или какую-либо другую службу, чтобы он игнорировал ваши сканирования.

кроме того, не вся почта должна использовать порт 25 для отправки электронных писем. он может поразить любой порт, если создатель скажет ему об этом.

person James Ferguson    schedule 01.10.2012
comment
Мы проверили, что ретрансляция только для 127.0.0.1, и все настройки безопасности выглядят нормально. Мы не проверяли папку очереди, так что есть на что посмотреть. Я вижу, что электронная почта отправляется через журналы SMTP IIS, поэтому это определенно порт 25. В идеале нам нужен способ определить, какой файл все еще достигает отправки этой почты. - person Sierry; 02.10.2012