netstat -b -o
lista as conexões de rede, processo e PID - você deve ser capaz de descobrir qual processo de trabalho do IIS está realizando todas as conexões da porta 25.
Estou gerenciando um sistema Win Server 2008 com vários sites hospedados. Recentemente descobri que algo estava enviando spam através do nosso servidor SMTP. Os logs indicam que as conexões estavam sendo feitas para o servidor SMTP da porta localhost 25 ... que foi configurado para permitir a retransmissão não autenticada. Agora estamos exigindo autenticação mesmo em 127.0.0.1:25, então o spam de saída é bloqueado, mas as tentativas de conexão continuam.
Meu palpite é que um dos scripts da Web de nosso cliente foi invadido e está sendo usado para encaminhar spam por meio de nosso servidor SMTP.
Existe alguma ferramenta que pode ser usada para determinar qual processo, ou melhor ainda, qual executável está fazendo conexões com uma porta web específica?
Examinei os registros do firewall do Windows, como sugerido nesta Falha do servidor pergunta , mas isso não lista o ID do processo que está fazendo conexões.
É claro que é possível que eu esteja latindo na árvore errada aqui, então qualquer outro conselho seria apreciado também.
netstat -b -o
lista as conexões de rede, processo e PID - você deve ser capaz de descobrir qual processo de trabalho do IIS está realizando todas as conexões da porta 25.
Tem certeza de que seu servidor não está mais transmitindo spam? Se você tem certeza de que não, então o problema provavelmente foi apenas que era um revezamento aberto. No entanto, se você achar que alguns sites da Web podem permitir que o spam seja enviado de outra maneira, continue lendo.
Você pode considerar seu servidor comprometido e, nesse caso, seguir os conselhos no artigo marcado como possível duplicata acima.
No entanto, você sente que é bastante provável que um script de um de seus usuários seja a causa, seja porque foi hackeado, ou mais provável de que seja mal escrito, permitindo Injecções por e-mail .
Para evitar que seu servidor seja colocado na lista negra afetando todos os seus clientes, provavelmente você deve bloquear todo o tráfego de saída na porta 25 o mais rápido possível para evitar o spam.
Você precisará auditar todos os scripts no servidor para garantir que eles não sejam vulneráveis para este tipo de ataque. Veja esta pergunta em Segurança para detalhes de como proteger scripts PHP.
você pode usar algumas ferramentas de sniffer de rede que identificarão o nível de processo para o qual você está enviando o quê. Você também pode filtrar, se necessário.
some examples:
network monitor 3.4 (microsoft) outdated, but works well.
fiddler
... (other most probably)
Experimente o monitor de rede e, em 15 minutos, você sabe onde procurar em seguida.