我刚刚发现我的 Windows 2008 服务器正在尝试发送大量垃圾邮件,但我不知道如何查看入侵的位置。例如:有人入侵了帐户吗?有人入侵了服务器吗?服务器上有病毒吗?
我该做什么来调查此事?
编辑
感谢到目前为止的回复。我正在运行 hMail 服务器,花了很长时间研究正确的配置,但最终这些电子邮件还是被发送了。
Internet
以下是我在服务器上设置的 IP 范围的截图:
(让我知道我还能提供什么帮助)
答案1
无论您可以启用什么日志记录,请启用。然后对日志进行简单的统计分析(例如,如果您有可用的 linux/unix 机器并且知道基本的 sed/perl/awk,则找出提交邮件的所有原始 IP 并 |sort|uniq -c 它们,然后使用 geoip-lookup 处理该列表... 虽然听起来政治上不正确,但导致大量流量的 IP 通常来自完全违背公司生态系统地质结构的位置,这通常是您需要进一步调查的。
答案2
您的服务器发生的情况不一定是由病毒引起的。可能您只需要设置 smtp 服务器以不接受传入的发送电子邮件请求。这样,您只能在本地使用它。如果您使用默认的 IIS smtp 服务器,请转到控制面板,然后转到管理工具。找到 Internet 信息服务管理器并选择 smtp 服务器。单击“属性”,然后在“访问”选项卡中单击“连接控制”。在这里,您必须添加您的 ip 地址,然后选择“仅以下列表”以授予您的 ip。在同一个“访问”选项卡中单击“中继限制”,执行相同操作。
我使用的是 win 2003 server,但我想它会非常相似。
希望有用...
答案3
如果服务器实际上是邮件服务器,运行 Exchange 或其他邮件产品,那么您确实需要了解限制邮件中继的最佳做法。如果它是邮件服务器,那么我建议研究如何限制单个消息中的收件人数量。我在故障排除时将其设置为 5 个。这通常可以让您解决问题,而不会惹恼合法的最终用户。如果它不是邮件服务器,那么只需跳入路由器并阻止受感染服务器的出站端口 25,然后开始确定它是黑客还是病毒。
如果您能向我们提供有关服务器的更多详细信息,我们可能会稍微调整一下答案。