我在Rackspace有一个IIS7 Web服务器,它以某种方式被利用/攻击以发送垃圾邮件。我在服务器上运行了几种防病毒和恶意软件,并清理了所有发现的东西,但它仍然在发生。
我倾向于某种网络形式的攻击,但是这个服务器上有几个站点,我没有创建所有这些站点,因此找出正在使用的形式(甚至是所有的形式)是证明具有挑战性。
有没有人知道任何解决方案,以确定哪些脚本可能会触发这些电子邮件?有没有办法监控SMTP服务的更多信息?我查看了SMTP日志,但我看到的只有:
2014-02-14 06:00:52 127.0.0.1 [---服务器信息等---] SMTPSVC1 [-compname-] 127.0.0.1 0 MAIL - + FROM:< ----- --- @ -------------------> 250 0 56 43 0 SMTP - - - -
事实上,在我正在查看的这个日志文件中,大约16个小时内有19,608个。但不幸的是,这似乎没有用。
如果有人能提供任何见解,那就太棒了!
答案 0 :(得分:1)
如果我不得不猜测,你有一个已被入侵的网页(这是我认为你怀疑的),并且正用于生成所有消息。该网页可能接受FROM和TO,无需任何验证。
如果您开始看到这些内容,作为测试,请开始关闭网站,直到您看到攻击停止。
然后,启动网站备份,看看是否继续。然后,我会开始在网站上搜索与电子邮件相关的文件。
答案 1 :(得分:0)
您的服务器很可能配置为充当电子邮件中继服务器,允许任何人将正在传输的电子邮件发送到您的服务器以供服务器发送(中继)。垃圾邮件发送者这样做是为了掩盖电子邮件的原始起点。
修复方法是将服务器配置为不是中继服务器。更多背景信息: