Windows Server2008サーバーでスパムを送信しているローカルプロセスを見つける方法
多数のホストされたWebサイトでWinServer2008システムを管理しています。最近、SMTPサーバーを介して何かがスパムを送信していることがわかりました。ログは、認証されていないリレーを許可するように構成されたローカルホストポート25SMTPサーバーへの接続が確立されていたことを示しています。現在、127.0.0.1:25でも認証が必要なため、送信スパムはブロックされますが、接続の試行は続行されます。
私の推測では、クライアントのWebスクリプトの1つがハッキングされており、SMTPサーバーを介してスパムを転送するために使用されています。
特定のWebポートに接続している実行可能ファイルを特定するために使用できるツールはありますか?
この サーバー障害の質問 で提案されているように、Windowsファイアウォールログを確認しましたが、接続を行っているプロセスIDはリストされていません。
もちろん、私がここで間違った木を吠えている可能性があるので、他のアドバイスもいただければ幸いです。
netstat -b -oは、ネットワーク接続、プロセス、およびPIDを一覧表示します-どのIISワーカープロセスがすべてのポート25接続を実行しているかを把握できるはずです。
サーバーがスパムを中継しなくなってもよろしいですか?そうでないことが確かな場合、問題はおそらくそれがオープンリレーであったことだけでした。ただし、一部のWebサイトでスパムの送信が許可されていると思われる場合は、読み進めてください。
サーバーが危険にさらされていると見なすことができます。その場合は、上記の重複の可能性があるとマークされた記事のアドバイスに従ってください。
ただし、ハッキングされたため、または Email Injection タイプの攻撃を許可するように記述されていないために、ユーザーの1人からのスクリプトが原因である可能性が非常に高いと感じます。
サーバーがブラックリストに登録されてすべての顧客に影響を与えるのを防ぐために、スパムの発信を防ぐために、ポート25のすべての発信トラフィックをできるだけ早くブロックする必要があります。
次に、サーバー上のすべてのスクリプトを監査して、このタイプの攻撃に対して 脆弱 でないことを確認する必要があります。 保護方法の詳細については、セキュリティに関するこの質問を参照してくださいPHPスクリプト。
どのネットワークスニファツールを使用して、どのツールが何を送信しているかをプロセスレベルに正確に特定できます。必要に応じてフィルタリングすることもできます。
some examples:
network monitor 3.4 (Microsoft) outdated, but works well.
fiddler
... (other most probably)
ネットワークモニターを試してみると、15分以内に次にどこを見ればよいかがわかります。