У меня есть ситуация, когда сервер 2008 года с IIS7 был скомпрометирован на уровне приложения и рассылает спам с порта 25. Мы запустили сканирование на вирусы и удалили зараженные файлы, но спам все еще рассылается.
Мы знаем, что спам исходит из локального файла, поскольку брандмауэр заблокировал входящий порт 25, а журнал SMTP показывает все запросы, поступающие с локального сервера. Мы выполнили сканирование LogParser сайтов (которых много) на наличие любых данных POST в файлы на сервере, но все результаты выглядят подлинными. PID, отправляющий данные на порт 25, — это просто inetinfo.exe, так что это тоже не очень полезно.
Я хотел бы определить, какой файл отправляет это электронное письмо, может ли кто-нибудь придумать способ сделать это?