Просмотр SMTP-трафика из IIS7

Question

У меня ситуация, когда сервер 2008 года с IIS7 был взломан на уровне приложений и отправляет спам из порта 25. Мы запустили проверку на вирусы и удалили зараженные файлы, но спам по-прежнему отправляется.

Мы знаем, что спам поступает из локального файла, поскольку брандмауэр имеет порт 25, заблокированный входящим, а в журнале SMTP отображаются все запросы, появляющиеся с локального сервера. Мы провели сканирование LogParser сайтов (которых их много) для любых данных POST для файлов на сервере, но результаты все выглядят подлинными. PID, отправляющий данные на порт 25, просто inetinfo.exe, так что это тоже не очень полезно.

Я хотел бы определить, какой файл отправляет это электронное письмо, может ли кто-нибудь подумать о способе сделать это?

Answer 1

Вы отключили сервер smtp по свойствам для локального исходящего? значение 127. и т. д.?? также, посмотрели ли вы в папке que под inetpub, чтобы увидеть, есть ли там оскорбительное сообщение? В некоторых случаях файл может изменить удаленный сервер на smtp в IIS для отправки через aproxy или какой-либо другой сервис, чтобы он игнорировал ваши проверки.

Кроме того, не вся почта должна использовать порт 25 для отправки электронной почты. он может попасть в любой порт, если создатель сообщает об этом.