1. дома
  2. Вопрос и ответ
  3. SMTP-атака на сервере

SMTP-атака на сервере

2014-02-14 3 views
0

У меня есть веб-сервер IIS7 в Rackspace, который каким-то образом используется для отправки спама. Я запустил несколько вариантов антивирусного и вредоносного программного обеспечения на сервере и очистил все найденное, но оно все еще происходит.SMTP-атака на сервере

Я склоняюсь к какой-то атаке в виде веб-формы, но на этом сервере есть несколько сайтов, и я не создал их всех, поэтому выясняя, какая форма (ы) используется (или даже где они все это) доказывает сложность.

Кто-нибудь знает какое-либо решение, позволяющее определить, какие сценарии могут уволить эти письма? Есть ли способ контролировать службу SMTP с дополнительной информацией? Я просмотрел журналы SMTP, но все, что я вижу, это такие вещи, как:

2014-02-14 06:00:52 127.0.0.1 [--- информация о сервере и т. Д.] SMTPSVC1 [-compname- ] 127.0.0.1 0 MAIL - + FROM: < -------- @ -------------------> 250 0 56 43 0 SMTP - - - -

Фактически, в этом одном файле журнала, на который я смотрю, есть примерно 19 608 минут за 16 часов. Но, к сожалению, это не кажется полезным.

Если бы кто-нибудь мог предложить какое-либо понимание, это было бы здорово!

источник

2014-02-14 Delford Chaffin

+0

Все ли письма поступают с того же адреса? – Drewness

+0

Все те же адрес FROM ... обычно, есть несколько разных адресов TO. Я думаю, именно поэтому я склоняюсь к атаке формы. Я искал этот адрес во всей файловой системе и не нашел его. Если этот адрес где-то в какой-то базе данных, я не уверен, как его найти. –

+0

Итак, действительно ли адрес FROM <-------- @ -------------------> или вы изменили его на тире по соображениям конфиденциальности? – Drewness

ответ

1

Если бы я должен был догадаться, у вас есть веб-страница, которая была скомпрометировано (это то, что я думаю, что вы подозреваете), и используются для получения всех сообщений. Возможно, веб-страница принимает ОТ и ТО без какой-либо проверки.

Если вы начнете видеть, что они вошли, как тест, начните закрывать веб-сайты, пока не увидите остановку атаки.

Затем запустите веб-сайт, убедитесь, что он продолжается. Затем, я бы начал grepping, что местоположение сайта для файлов, связанных с электронной почтой.

источник

2014-02-15 18:41:51

+0

Я отметил это правильно, поскольку это близко к тому, что я сделал, чтобы решить (надеюсь) проблему. Во-первых, я полностью закрыл IIS, и атака остановилась. Я перезапустил IIS и отключил сайты, которые, скорее всего, были виновниками и в конечном итоге нашли его. Затем я просто начал удалять папки, пока не сузил их до папки css (из всех мест). Там я нашел странный PHP-файл. Удаление, похоже, прекратило атаку. Нет сайтов Joomla на этом сервере, но я нашел этого парня с той же проблемой: http://forum.parallels.com/showthread.php?294510-Suspicious-%93sys0972500-1-php%94-inside-httpdocs –

0

Скорее всего, ваш сервер настроен на работу в качестве сервера ретрансляции электронной почты, что позволяет отправлять электронную почту, отправляемую на ваш сервер, для отправки вашего сервера (реле). Спамеры делают это, чтобы скрыть оригинальную отправную точку электронной почты.

Исправление состоит в том, чтобы настроить сервер не на сервер ретрансляции. Более сопутствующая информация здесь:

http://en.wikipedia.org/wiki/Open_mail_relay

источник

2014-02-14 21:51:10

+0

Я действительно протестировал на открытое реле с этими: http://mxtoolbox.com/diagnostic.aspx http://www.mailradar.com/openrelay/ http: //www.spamhelp.org/shopenrelay/shopenrelaytest.php ... и у него был собеседник, проверяющий его с помощью telnet. Не верьте, что открытое реле - это проблема. Я должен был упомянуть об этом в оригинальном вопросе, извините. –

Смежные вопросы

 Смежные вопросы