私は専用サーバーを所有していますが、サーバー管理者によると、私のサーバーから大量のスパムメールが送信されているそうです。つまり、ハッキングされたということです。彼らは調べましたが、何が送信されているのかはわかりません。私はリモート デスクトップ接続を使用していましたが、彼らはそれを無効にしたので、外部からのアクセスはできないはずですが、それでもメールは送信されています。
ご承知のとおり、私は技術者ではないので、マルウェアやメールを送信しているものをどこで探せばいいのか全く分かりません。
しかし、送信されたメールはどこでどのように確認できるのでしょうか? Windows 2012r サーバーです。どこを確認すればよいのでしょうか? インストールされているメール サーバーが何なのかさえわかりません。どうすればわかりますか?
サーバー上でマルウェアとウイルス対策プログラムを実行しましたが、何も検出されませんでした。
どのようなご意見でも大歓迎です、ありがとうございます。
答え1
電子メールを送信するためにメール サーバーをインストールする必要はありません。SMTP は、リモート サーバーの TCP ポート 25 に接続してメッセージを配信するシンプルなプロトコルです。侵害されたサーバー上のどのプロセスでもそれが実行可能です。
まずはnetstat -b -n -o現在の接続とそれを作成するプロセスの一覧を表示します。またはPowerShellGet-NetTCPConnectionを使用すると、ポートに基づいてリストをフィルタリングできます-RemotePort 25。例:
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
この分析は、次のことを知るのに役立つかもしれませんどうやって感染した。しかし、結局、次の疑問が浮かび上がってきます。侵害されたサーバーにはどのように対処すればよいですか?