我们的服务器被黑客入侵了,我正在努力找出原因。该服务器用于垃圾邮件目的,看起来 IIS 被用来发送电子邮件,因为死信和队列文件夹已经满了。发送的电子邮件将 x-Mailer 标头设置为“The Bat!”,有什么我可以检查的东西吗?我检查了最常见的传入端口(0-1055 和仅 HTTP/HTTPS)是否打开。
答案1
如果找到原因很重要,请聘请专业人士,因为原因可能是任何事情。尽快拔掉网络插头,清除并重新加载服务器 - 如果调查时不需要保持原始状态,请立即拔掉插头。
除了明显的垃圾邮件之外,不可能的告诉您安装了什么其他东西,比如 root 工具包,或者服务器与外部世界之间真正进行了哪些通信,这些通信隐藏在从 DNS 请求到其他任何东西的深处。
如今,入站开放端口通常不是攻击媒介,但如果该版本的 IIS 或监听这些 smtp 和 http 端口的程序存在漏洞,那么就很容易成为攻击媒介。补丁管理问题和较弱的内部安全性(例如容易受到攻击的工作站可以通过网络访问服务器)似乎是其他可能的原因。
从关于标题的第一个维基百科搜索结果:
许多垃圾邮件确实将 X-Mailer 标头字段设置为 The Bat!,但这是因为它是 Advanced Mass Sender 程序中的默认设置之一,该程序经常用于发送垃圾邮件。
答案2
首先停止 SMTP 服务,这将停止任何进一步的活动。接下来,删除死信和队列文件夹中的消息。最后,检查 SMTP 服务的配置,并确保关闭它以打开中继。重新启动 SMTP 服务并检查与其的连接,如果存在,查看它们来自哪里,然后再次检查文件夹中是否有通过它中继的消息。
这是 Windows 服务器吗? SMTP 平台是什么?IIS?如果是,是什么版本(5、6、7)?这是 Exchange 服务器吗?