У меня есть веб-сервер IIS7 в Rackspace, который каким-то образом используется для отправки спама. Я запустил несколько вариантов антивирусного и вредоносного программного обеспечения на сервере и очистил все найденное, но оно все еще происходит.SMTP-атака на сервере
Я склоняюсь к какой-то атаке в виде веб-формы, но на этом сервере есть несколько сайтов, и я не создал их всех, поэтому выясняя, какая форма (ы) используется (или даже где они все это) доказывает сложность.
Кто-нибудь знает какое-либо решение, позволяющее определить, какие сценарии могут уволить эти письма? Есть ли способ контролировать службу SMTP с дополнительной информацией? Я просмотрел журналы SMTP, но все, что я вижу, это такие вещи, как:
2014-02-14 06:00:52 127.0.0.1 [--- информация о сервере и т. Д.] SMTPSVC1 [-compname- ] 127.0.0.1 0 MAIL - + FROM: < -------- @ -------------------> 250 0 56 43 0 SMTP - - - -
Фактически, в этом одном файле журнала, на который я смотрю, есть примерно 19 608 минут за 16 часов. Но, к сожалению, это не кажется полезным.
Если бы кто-нибудь мог предложить какое-либо понимание, это было бы здорово!
Все ли письма поступают с того же адреса? – Drewness
Все те же адрес FROM ... обычно, есть несколько разных адресов TO. Я думаю, именно поэтому я склоняюсь к атаке формы. Я искал этот адрес во всей файловой системе и не нашел его. Если этот адрес где-то в какой-то базе данных, я не уверен, как его найти. –
Итак, действительно ли адрес FROM <-------- @ -------------------> или вы изменили его на тире по соображениям конфиденциальности? – Drewness