我的情况是,带有IIS7的2008服务器受到应用程序级别攻击并从端口25发送垃圾邮件。我们已经运行了病毒扫描并删除了受感染的文件,但仍然发送了垃圾邮件。
我们知道垃圾邮件来自本地文件,因为防火墙端口25已阻止入站,而SMTP日志显示从本地服务器出现的所有请求。我们已经对服务器上的文件的任何POST数据运行了LogParser扫描站点(有很多),但结果看起来都很真实。在端口25上发送数据的PID只是inetinfo.exe,所以这也没用多少。
我想确定发送此电子邮件的文件是什么,有人可以想到这样做的方法吗?
答案 0 :(得分:0)
您是否关闭了本地出站属性下的smtp服务器?意思是127.等......?你也看过inetpub下的que文件夹,看是否有违规信息在那里?在某些情况下,文件可以更改IIS中smtp上的远程服务器以通过aproxy或其他服务发送,因此它会忽略您的扫描。
此外,并非所有邮件都必须使用端口25来发送电子邮件。如果创建者告诉它,它可以击中任何端口。