0

我遇到的情况是,带有 IIS7 的 2008 服务器已受到应用程序级别的攻击,并且正在从端口 25 发送垃圾邮件。我们已经运行了病毒扫描并删除了受感染的文件,但垃圾邮件仍在发送。

我们知道垃圾邮件来自本地文件,因为防火墙阻止了端口 25 的入站,并且 SMTP 日志显示了来自本地服务器的所有请求。我们已经对站点(有很多)运行了 LogParser 扫描,以查找服务器上文件的任何 POST 数据,但结果看起来都是真实的。在端口 25 上发送数据的 PID 只是 inetinfo.exe,所以这也没什么用。

我想确定发送这封电子邮件的文件是什么,有人能想出办法吗?

4

1 回答 1

0

您是否关闭了本地出站属性下的 smtp 服务器?意思是 127. 等等...?另外,您是否查看了 inetpub 下的 que 文件夹以查看是否存在违规消息?在某些情况下,文件可以将 IIS 中 smtp 上的远程服务器更改为通过代理或其他服务发送,这样它就会忽略您的扫描。

此外,并非所有邮件都必须使用 25 端口来发送电子邮件。如果创建者告诉它,它可以访问任何端口。

于 2012-10-01T18:52:19.520 回答