Ich habe einen dedizierten Server und die Server-Leute sagen, dass viele Spam-E-Mails von meinem Server gesendet werden. Er wurde also gehackt. Sie haben nachgeschaut, konnten aber nicht herausfinden, was er ihnen schickt. Ich hatte eine Remote-Desktop-Verbindung und sie haben sie deaktiviert, sodass kein externer Zugriff möglich sein sollte, aber er verschickt immer noch E-Mails.
Wie Sie wissen, bin ich kein Technikfreak und weiß daher nicht, wo ich nach Malware oder was auch immer die E-Mails versendet, suchen soll.
Aber wie oder wo kann ich sehen, ob E-Mails gesendet werden? Es ist ein Windows 2012r-Server. Wo soll ich nachsehen? Ich weiß nicht einmal, welcher Mailserver installiert ist. Wie kann ich das herausfinden?
Ich habe auf dem Server ein Malware- und ein Antivirenprogramm ausgeführt und keines davon hat etwas gefunden.
Ich bin für jeden Beitrag dankbar, danke.
Antwort1
Zum Senden von E-Mails muss kein Mailserver installiert sein. SMTP ist ein einfaches Protokoll, das eine Verbindung zum TCP-Port 25 eines Remote-Servers herstellt und die Nachricht zustellt.Jeder Prozess auf einem kompromittierten Server könnte dies tun.
Sie könnten beginnen mitnetstat -b -n -oum die aktuellen Verbindungen und die Prozesse aufzulisten, die an ihrer Erstellung beteiligt sind. Oder PowerShellGet-NetTCPConnectionmit dem die Liste basierend auf dem Port gefiltert werden kann -RemotePort 25. Beispiel:
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
Diese Analyse kann Ihnen dabei helfen, herauszufindenWieSie haben sich infiziert. Irgendwann wird jedoch wieder die Frage aufkommen:Wie gehe ich mit einem kompromittierten Server um?