我有一台专用服务器,服务器人员说我的服务器发送了很多垃圾邮件。所以它被黑客入侵了。他们查看了但找不到它发送的内容。我有一个远程桌面连接,他们把它关闭了,所以外部访问是不可能的,但它仍然在发送电子邮件。
正如你所知,我不是技术人员,所以我不知道在哪里可以找到恶意软件或它发送的邮件。
但是我如何或在哪里才能看到正在发送的电子邮件?它是 Windows 2012r 服务器。我应该在哪里查看?我甚至不知道安装了什么邮件服务器,我该如何判断?
我在服务器上运行了恶意软件和防病毒程序,但没有发现任何东西。
非常感谢任何意见,谢谢。
答案1
您无需安装邮件服务器即可发送电子邮件。SMTP 是一种简单的协议,可连接到远程服务器的 TCP 端口 25 并传递消息。受感染服务器上的任何进程都可以做到这一点。
你可以先使用netstat -b -n -o列出当前连接以及创建这些连接所涉及的进程。或者 PowerShellGet-NetTCPConnection可以使用 来根据端口过滤列表-RemotePort 25。例如
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
此分析或许能帮助你发现如何你被感染了。然而,最终这个问题又回到了:我该如何处理受到感染的服务器?