Eu tenho um servidor dedicado e o pessoal do servidor diz que muitos e-mails de spam estão sendo enviados do meu servidor. Então foi hackeado. Eles procuraram, mas não conseguem encontrar o que lhes está sendo enviado. Eu tinha uma conexão de área de trabalho remota e eles a desativaram para que nenhum acesso externo fosse possível, mas ainda assim ele está enviando e-mails.
Como você entende, não sou um cara de tecnologia, então não tenho ideia de onde procurar um maleware ou o que quer que esteja enviando os e-mails.
Mas como ou onde posso ver os e-mails sendo enviados? É um servidor Windows 2012r. Onde devo procurar? Eu nem sei qual servidor de email está instalado, como posso saber?
Executei um programa maleware e antivírus no servidor e nenhum deles encontrou nada.
Qualquer contribuição é muito apreciada, obrigado.
Responder1
Você não precisa de um servidor de e-mail instalado para enviar e-mails. SMTP é um protocolo simples que se conecta à porta TCP 25 de um servidor remoto e entrega a mensagem.Qualquer processo em um servidor comprometido poderia fazer isso.
Você poderia começar usandonetstat -b -n -opara listar as conexões atuais e os processos envolvidos em sua criação. Ou PowerShellGet-NetTCPConnectionque pode filtrar a listagem com base na porta com -RemotePort 25. Por exemplo
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
Esta análise pode ajudá-lo a descobrircomovocê foi infectado. No entanto, eventualmente isso voltará à questão:Como faço para lidar com um servidor comprometido?