Я управляю системой Win Server 2008 с несколькими размещенными веб-сайтами. Недавно я обнаружил, что через наш SMTP-сервер что-то рассылает спам. Журналы показывают, что подключения выполнялись к нашему SMTP-серверу localhost, порт 25 ... который был настроен для разрешения ретрансляции без аутентификации. Теперь мы требуем аутентификации даже на 127.0.0.1:25, поэтому исходящий спам блокируется, но попытки подключения продолжаются.
Я предполагаю, что один из веб-скриптов нашего клиента был взломан и используется для пересылки спама через наш SMTP-сервер.
Существуют ли какие-либо инструменты, которые можно использовать для определения того, какой процесс или, еще лучше, какой исполняемый файл устанавливает соединение с определенным веб-портом?
Я просмотрел журналы брандмауэра Windows, как предлагается в этом Вопрос о сбое сервера, но в нем не указан идентификатор процесса, который устанавливает соединения.
Конечно, возможно, что я лаю здесь не на то дерево, поэтому любой другой совет тоже будет признателен.
netstat -b -o перечисляет сетевые подключения, процесс и PID - вы сможете выяснить, какой рабочий процесс IIS выполняет все подключения к порту 25.
вы можете использовать некоторые инструменты сетевого сниффера, которые будут точно определять уровень процесса, какой из них что отправляет. При необходимости вы также можете отфильтровать.
some examples:
network monitor 3.4 (microsoft) outdated, but works well.
fiddler
... (other most probably)
Попробуйте сетевой монитор, и в течение 15 минут вы будете знать, где искать дальше.
Вы уверены, что ваш сервер больше не рассылает спам? Если вы уверены, что это не так, проблема, вероятно, заключалась в том, что это было открытое реле. Однако, если вы чувствуете, что некоторые веб-сайты могут разрешать рассылку спама другим способом, продолжайте читать.
Вы можете считать свой сервер скомпрометированным, и в этом случае следуйте советам в статье, отмеченной как возможный дубликат выше.
Однако вы считаете, что вполне вероятно, что причиной является сценарий от одного из ваших пользователей, либо потому, что он был взломан, либо, более вероятно, что он просто плохо написан, что позволяет Электронная почта типа атаки.
Чтобы ваш сервер не попал в черный список и не затронул всех ваших клиентов, вам, вероятно, следует как можно скорее заблокировать весь исходящий трафик на порту 25, чтобы предотвратить распространение спама.
Затем вам нужно будет проверить все скрипты на сервере, чтобы убедиться, что они не уязвимый к этому типу атаки. См. Этот вопрос о безопасности для получения подробной информации о том, как защитить скрипты PHP.