我有一個專用伺服器,伺服器人員說我的伺服器發送了很多垃圾郵件。所以它被駭客攻擊了。他們已經查看過,但找不到它向他們發送的內容。我有一個遠端桌面連接,他們將其關閉,因此不可能進行外部訪問,但它仍然在發送電子郵件。
如您所知,我不是技術人員,所以我不知道在哪裡尋找惡意軟體或發送郵件的任何內容。
但是我如何或在哪裡可以看到正在發送的電子郵件?它是一個 Window 2012r 伺服器。我該去哪裡看?我甚至不知道安裝了什麼郵件伺服器,我怎麼知道?
我在伺服器上運行了惡意軟體和防毒程序,但沒有發現任何內容。
任何意見都非常感謝,謝謝。
答案1
您不需要安裝郵件伺服器來傳送電子郵件。 SMTP 是一種簡單的協議,它連接到遠端伺服器的 TCP 連接埠 25 並傳送訊息。受感染伺服器上的任何進程都可以做到這一點。
你可以開始使用netstat -b -n -o列出當前連接以及創建它們所涉及的進程。或 PowerShellGet-NetTCPConnection它可以根據連接埠過濾列表-RemotePort 25。例如
Get-NetTCPConnection -RemotePort 25 | Select-Object -Property LocalPort, RemoteAddress,
@{ Name = 'ProcessName'; Expression = { (Get-Process -Id $_.OwningProcess).Name } },
@{ Name = 'PID'; Expression = 'OwningProcess' }
此分析可能會幫助您了解如何你被感染了。然而,最終這又會受到質疑:如何處理受感染的伺服器?