나는 전용 서버를 가지고 있는데 서버 사람들은 내 서버에서 많은 스팸 이메일이 전송되고 있다고 말합니다. 그래서 해킹당했습니다. 그들은 보았지만 그것이 보내는 것을 찾을 수 없습니다. 원격 데스크톱 연결이 있었는데 외부 액세스가 불가능하도록 꺼졌는데도 여전히 이메일을 보내고 있습니다.
아시다시피 저는 기술 전문가가 아니기 때문에 악성 프로그램이나 메일을 보내는 내용을 어디서 찾을 수 있는지 전혀 모릅니다.
하지만 전송되는 이메일을 어떻게, 어디서 확인할 수 있나요? Window 2012r 서버입니다. 어디를 봐야 할까요? 어떤 메일 서버가 설치되어 있는지조차 모릅니다. 어떻게 알 수 있나요?
서버에서 악성 소프트웨어와 바이러스 백신 프로그램을 실행했는데 아무 것도 발견하지 못했습니다.
어떤 의견이라도 정말 감사드립니다.
답변1
이메일을 보내기 위해 메일 서버를 설치할 필요는 없습니다. SMTP는 원격 서버의 TCP 포트 25에 연결하여 메시지를 전달하는 간단한 프로토콜입니다.손상된 서버의 모든 프로세스가 이를 수행할 수 있습니다.
다음을 사용하여 시작할 수 있습니다.netstat -b -n -o현재 연결과 연결 생성과 관련된 프로세스를 나열합니다. 아니면 파워셸Get-NetTCPConnection포트를 기반으로 목록을 필터링할 수 있습니다 -RemotePort 25. 예:
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
이 분석은 다음을 찾는 데 도움이 될 수 있습니다.어떻게당신은 감염되었습니다. 그러나 결국 이것은 다음과 같은 질문으로 돌아올 것입니다.손상된 서버를 어떻게 처리합니까?