如何识别垃圾邮件IIS 7的源/脚本

Question

我正在寻找一种方法，以找到垃圾邮件的来源在我的一个网络服务器，附加到Parallels Plesk Automation11.5。服务器目前运行的是Windows2008Windows r2 & IIS7。

邮件队列不断增加，正如人们所猜测的那样，封锁IP并不是一个长期的解决方案。

在Linux上，可以轻松地跟踪邮件日志并获得更多信息。然而，在Windows中，这并不容易。

我在事件查看器中找不到任何东西。在smtp日志中，我只找到了IP，仅此而已。

我怎样才能知道哪个网站触发了垃圾邮件？

标头示例

C:\inetpub\mailroot\Queue

Received: from WEBSRV ([127.0.0.1]) by WEBSRV with Microsoft SMTPSVC(7.5.7601.17514);  
     Wed, 29 Apr 2015 15:04:53 +0200  
Date: Wed, 29 Apr 2015 13:04:53 +0000
Subject: Prezado(a) Cliente, Alerta Itaú 29/04/2015  
To: adilson.felipe@copebras.com.br  
MIME-Version: 1.0  
Content-type: text/html; charset=iso-8859-1  
X-Mailer: Microsoft Office Outlook, Build 17.551210  
From: adilson.felipe@copebras.com.br  
Return-Path: postmaster@WEBSRV  
Message-ID: SRVm8Kx7M6xyAE0Q20008eb98@WEBSRV   
X-OriginalArrivalTime: 29 Apr 2015 13:04:53.0897 (UTC) FILETIME=[159E6790:01D0827D]  

日志实例

C：\Windows\System32 32\LogFiles\SMTPSVC1

2015-04-29 13:00:00 187.92.46.51 OutboundConnectionResponse SMTPSVC1 SRV - 25 - - 250+OK 0 0 6 0 4696 SMTP - - - -  
2015-04-29 13:00:00 187.92.46.51 OutboundConnectionCommand SMTPSVC1 SRV - 25 RCPT - TO:<edison.toledo@ceramicaportoferreira.com.br> 0 0 4 0 4711 SMTP - - - -
2015-04-29 13:00:00 186.202.4.42 OutboundConnectionResponse SMTPSVC1 SRV - 25 - - 504+5.5.2+<SRV>:+Helo+command+rejected:+need+fully-qualified+hostname 0 0 70 0 1217 SMTP - - - -

Answer 1

我在拥有数百个应用程序的服务器上与这些(或类似的)场景进行了斗争，并找到了最简单的缩小/跟踪它们的方法是使用Sysinternals 过程监视器：

1. 找到冒烟枪
   • 开放进程监视器，并让它只显示网络活动

- Filter for process name `w3wp.exe` (if running .NET or ASP applications)
- If you run php or perl applications using CGI, you might want to look for `perl.exe` or `php_xyx.exe` or whatever name the executable has instead
- Filter for TCP activity where the `Path` contains `127.0.0.1` and `:25` (indicating local SMTP connections)
- Take note of the Process ID of the w3wp.exe process making these calls

1. 与运行中的应用程序相关
   • 转到IIS管理控制台，在左侧的树窗格中选择顶部节点(服务器名)
   • 从中央窗格中选择“辅助进程”功能

- Correlate the PID with the Application Pool
- Right-click the App Pool in question to see what applications it serve

1. 检查日志
   • 现在，您所要做的就是检查托管这些应用程序的站点的IIS日志。
   • 根据经验，这些可能是POST请求

如果运行CGI应用程序，可以使用Process查找违规应用程序的父进程