Tengo un servidor dedicado y la gente del servidor dice que desde mi servidor se envían muchos correos electrónicos no deseados. Entonces ha sido pirateado. Han buscado pero no encuentran lo que les envía. Tenía una conexión de escritorio remoto y la desactivaron para que no fuera posible el acceso externo, pero aún así estoy enviando correos electrónicos.
Como comprenderás, no soy un técnico, así que no tengo idea de dónde buscar un malware o lo que sea que esté enviando los correos.
Pero, ¿cómo o dónde puedo ver los correos electrónicos que se envían? Es un servidor Windows 2012r. ¿Dónde debería buscar? Ni siquiera sé qué servidor de correo está instalado, ¿cómo lo sé?
He ejecutado un programa antivirus y maleware en el servidor y ninguno encuentra nada.
Cualquier aporte realmente apreciado, gracias.
Respuesta1
No necesita un servidor de correo instalado para enviar correo electrónico. SMTP es un protocolo simple que se conecta al puerto TCP 25 de un servidor remoto y entrega el mensaje.Cualquier proceso en un servidor comprometido podría hacer eso.
Podrías empezar usandonetstat -b -n -opara enumerar las conexiones actuales y los procesos involucrados en su creación. O PowerShellGet-NetTCPConnectionque puede filtrar el listado según el puerto con -RemotePort 25. P.ej
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
Este análisis puede ayudarte a descubrirlo.cómote infectaste. Sin embargo, eventualmente esto volverá a ser cuestionable:¿Cómo trato con un servidor comprometido?