Windows-Server-2008-R2

如何辨識垃圾郵件 IIS 7 的來源/腳本

  • April 29, 2015

我正在尋找一種方法來在我的一個網路伺服器上找到垃圾郵件的來源,該伺服器連接到 Parallels Plesk Automation 11.5。該伺服器目前執行 Windows 2008 r2 和 IIS7。

郵件隊列不斷增長,正如人們猜測的那樣,阻止 IP 不是一個長期的解決方案。

在 Linux 上,人們可以輕鬆地跟踪郵件日誌並獲得更多資訊。然而,在 Windows 中,這並不容易。

我在事件查看器中找不到任何東西。在 smtp 日誌中,我只找到了 IP,僅此而已。

如何找出觸發垃圾郵件的網站?

標頭範例

C:\inetpub\mailroot\Queue

Received: from WEBSRV ([127.0.0.1]) by WEBSRV with Microsoft SMTPSVC(7.5.7601.17514);  
    Wed, 29 Apr 2015 15:04:53 +0200  
Date: Wed, 29 Apr 2015 13:04:53 +0000
Subject: Prezado(a) Cliente, Alerta Itaú 29/04/2015  
To: adilson.felipe@copebras.com.br  
MIME-Version: 1.0  
Content-type: text/html; charset=iso-8859-1  
X-Mailer: Microsoft Office Outlook, Build 17.551210  
From: adilson.felipe@copebras.com.br  
Return-Path: postmaster@WEBSRV  
Message-ID: SRVm8Kx7M6xyAE0Q20008eb98@WEBSRV   
X-OriginalArrivalTime: 29 Apr 2015 13:04:53.0897 (UTC) FILETIME=[159E6790:01D0827D]  

日誌範例

C:\Windows\System32\LogFiles\SMTPSVC1

2015-04-29 13:00:00 187.92.46.51 OutboundConnectionResponse SMTPSVC1 SRV - 25 - - 250+OK 0 0 6 0 4696 SMTP - - - -  
2015-04-29 13:00:00 187.92.46.51 OutboundConnectionCommand SMTPSVC1 SRV - 25 RCPT - TO:<edison.toledo@ceramicaportoferreira.com.br> 0 0 4 0 4711 SMTP - - - -
2015-04-29 13:00:00 186.202.4.42 OutboundConnectionResponse SMTPSVC1 SRV - 25 - - 504+5.5.2+<SRV>:+Helo+command+rejected:+need+fully-qualified+hostname 0 0 70 0 1217 SMTP - - - -

我已經在具有數百個應用程序的伺服器上與這些(或類似)場景進行了鬥爭,並發現縮小/追踪它們的最簡單方法是使用 Sysinternals Process Monitor

  1. 找到確鑿的證據
  • 打開程序監視器並讓它只顯示網路活動 在此處輸入圖像描述
  • 過濾程序名稱w3wp.exe(如果正在執行 .NET 或 ASP 應用程序)
  • 如果您使用 CGI 執行 php 或 perl 應用程序,您可能需要查找執行檔的名稱或其他perl.exe名稱php_xyx.exe
  • 過濾Path包含127.0.0.1:25(指示本地 SMTP 連接)的 TCP 活動
  • 記下進行這些呼叫的 w3wp.exe 程序的程序 ID
  1. 與正在執行的應用程序相關聯
  • 轉到 IIS 管理控制台,選擇左側樹窗格中的頂部節點(伺服器名稱)
  • 從中心窗格中選擇“工作程序”功能 在此處輸入圖像描述
  • 將 PID 與應用程序池相關聯
  • 右鍵點擊有問題的應用程序池以查看它服務的應用程序
  1. 檢查日誌
  • 現在您所要做的就是檢查託管相關應用程序的站點的 IIS 日誌
  • 根據經驗,這些可能是POST請求

如果您正在執行 CGI 應用程序,您可以使用 Process Explorer 來查找有問題的應用程序的父程序

引用自:https://serverfault.com/questions/686449