Ik zit met een probleem.
Ik heb een Webserver Windows 2008 R2 64bits, met IIS7.
Hierop draaien enkele websites. (20 stuks)
Wanneer men via een contactformulier een mail verstuurd op een van de website,
dan gebeurt door sendmail.exe welke op de server staat.
Deze wordt aangeroepen vanuit de php.ini
sendmail_path = "d:\sendmail\sendmail.exe -t"
Echter verstuurd de server om de zoveel uur flink wat SPAM vanuit mxs.mail.ru (IP 94.100.176.20)
Ik heb de server gescand met, MSERT, MBAR, Malware Bytes Pro (versie gekocht),
Kaspersky 6. Tevens heb ik alle Windows updates gedraaid.
Echter blijft de server aan de gang, wel met een iets lagere frequentie maar het blijft doorgaan.
Ik vermoed allemaal dat er ergens iets in de code van een van de websites zal zitten.
Alleen hoe kom ik er achter welke website het is. (ik kan niet zomaar websites offline gaan halen)
Ik heb ook een debug log aangezet op de sendmail tool.
Maar die geeft alleen maar de volgende info
13-08-29 22:17:02 ** --- MESSAGE END ---
13-08-29 22:17:02 ** Connecting to smtp.com:25
13-08-29 22:17:03 ** Connected.
13-08-29 22:17:03 << 220 smtp.com ESMTP Service ready<EOL>
13-08-29 22:17:03 >> EHLO server.domein.nl<EOL>
13-08-29 22:17:03 << 250-smtp.com Hello [1.2.3.4], nice to meet you<EOL>250-SIZE 35000000<EOL>250 HELP<EOL>
13-08-29 22:17:03 >> MAIL FROM: <info@domein.nl><EOL>
13-08-29 22:17:03 << 250 <info@domein.nl>... Sender ok<EOL>
13-08-29 22:17:03 >> RCPT TO: <abbatikov.artem@mail.ru><EOL>
13-08-29 22:17:03 << 250 Recipient ok<EOL>
13-08-29 22:17:03 >> DATA<EOL>
13-08-29 22:17:03 << 354 Start mail input, end with "." on a line by itself<EOL>
13-08-29 22:17:03 >> Date: Thu, 29 Aug 2013 22:17:03 +0200<EOL>
13-08-29 22:17:03 >> To: abbatikov.artem@mail.ru<EOL>
13-08-29 22:17:03 >> Subject: Артем Аббатиков<EOL>
13-08-29 22:17:03 >> MIME-Version: 1.0<EOL>
13-08-29 22:17:03 >> Content-type: text/html; charset=windows-1251<EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <head><EOL>
13-08-29 22:17:03 >> <title></title><EOL>
13-08-29 22:17:03 >> </head><EOL>
13-08-29 22:17:03 >> <body><EOL>
13-08-29 22:17:03 >> <p><a href="http://gi-art.com/foolbya.php">Добрый день, Артем Аббатиков заработок 1500$, сидя дома!</a> <p/><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF">Ну что, тикают? - ладно, парочка заскоков, и теперь. Молись, говорит, в церковь ходи., катал по району соседей и. Сергей Дмитриевич аккуратно прополоскал бритву, Ольга Иваницкая, в отличие от кровь, но крови не было, и размышляя, как быть. - Очень надо, - настойчиво то она со второй фразы последнее время стала косо на жизни в столице так и не хотелось укреплять ее подозрения.</p><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> Давно на нарах не ночевал? Если ты такой умный, вряд ли мог многое рассказать о господине Набуки - ну такие цели, как закупка продуктов длинной струей выпуская в его. Илариону был знаком этот взгляд, и полученные от Забродова деньги слегка затуманили его рассудок, но что уже завтра утром покинет разве что подробности, не имевшие. Не привыкшему к отельным порядкам лейтенант и, на ходу нахлобучивая и поселковым медпунктам - словом, периодически посещается совершенно посторонними людьми.</p><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> И тогда добрый дядя Сережа со стены последняя черточка серебра нового знака, чтобы дорога для.</p><EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> Вы же знаете, я его потеря, у меня такой еще.</p><EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> .<EOL>
13-08-29 22:17:03 << 250 52203CBF-0 Message accepted<EOL>
13-08-29 22:17:03 >> QUIT<EOL>
13-08-29 22:17:03 << 221 smtp.com Service closing transmission channel<EOL>
13-08-29 22:17:03 ** Disconnected.
En dit gaat dan zo door, echter telkens veranderd de URL in de mail ook.
Iemand een idee wat te doen?
Ik heb een Webserver Windows 2008 R2 64bits, met IIS7.
Hierop draaien enkele websites. (20 stuks)
Wanneer men via een contactformulier een mail verstuurd op een van de website,
dan gebeurt door sendmail.exe welke op de server staat.
Deze wordt aangeroepen vanuit de php.ini
sendmail_path = "d:\sendmail\sendmail.exe -t"
Echter verstuurd de server om de zoveel uur flink wat SPAM vanuit mxs.mail.ru (IP 94.100.176.20)
Ik heb de server gescand met, MSERT, MBAR, Malware Bytes Pro (versie gekocht),
Kaspersky 6. Tevens heb ik alle Windows updates gedraaid.
Echter blijft de server aan de gang, wel met een iets lagere frequentie maar het blijft doorgaan.
Ik vermoed allemaal dat er ergens iets in de code van een van de websites zal zitten.
Alleen hoe kom ik er achter welke website het is. (ik kan niet zomaar websites offline gaan halen)
Ik heb ook een debug log aangezet op de sendmail tool.
Maar die geeft alleen maar de volgende info
13-08-29 22:17:02 ** --- MESSAGE END ---
13-08-29 22:17:02 ** Connecting to smtp.com:25
13-08-29 22:17:03 ** Connected.
13-08-29 22:17:03 << 220 smtp.com ESMTP Service ready<EOL>
13-08-29 22:17:03 >> EHLO server.domein.nl<EOL>
13-08-29 22:17:03 << 250-smtp.com Hello [1.2.3.4], nice to meet you<EOL>250-SIZE 35000000<EOL>250 HELP<EOL>
13-08-29 22:17:03 >> MAIL FROM: <info@domein.nl><EOL>
13-08-29 22:17:03 << 250 <info@domein.nl>... Sender ok<EOL>
13-08-29 22:17:03 >> RCPT TO: <abbatikov.artem@mail.ru><EOL>
13-08-29 22:17:03 << 250 Recipient ok<EOL>
13-08-29 22:17:03 >> DATA<EOL>
13-08-29 22:17:03 << 354 Start mail input, end with "." on a line by itself<EOL>
13-08-29 22:17:03 >> Date: Thu, 29 Aug 2013 22:17:03 +0200<EOL>
13-08-29 22:17:03 >> To: abbatikov.artem@mail.ru<EOL>
13-08-29 22:17:03 >> Subject: Артем Аббатиков<EOL>
13-08-29 22:17:03 >> MIME-Version: 1.0<EOL>
13-08-29 22:17:03 >> Content-type: text/html; charset=windows-1251<EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <head><EOL>
13-08-29 22:17:03 >> <title></title><EOL>
13-08-29 22:17:03 >> </head><EOL>
13-08-29 22:17:03 >> <body><EOL>
13-08-29 22:17:03 >> <p><a href="http://gi-art.com/foolbya.php">Добрый день, Артем Аббатиков заработок 1500$, сидя дома!</a> <p/><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF">Ну что, тикают? - ладно, парочка заскоков, и теперь. Молись, говорит, в церковь ходи., катал по району соседей и. Сергей Дмитриевич аккуратно прополоскал бритву, Ольга Иваницкая, в отличие от кровь, но крови не было, и размышляя, как быть. - Очень надо, - настойчиво то она со второй фразы последнее время стала косо на жизни в столице так и не хотелось укреплять ее подозрения.</p><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> Давно на нарах не ночевал? Если ты такой умный, вряд ли мог многое рассказать о господине Набуки - ну такие цели, как закупка продуктов длинной струей выпуская в его. Илариону был знаком этот взгляд, и полученные от Забродова деньги слегка затуманили его рассудок, но что уже завтра утром покинет разве что подробности, не имевшие. Не привыкшему к отельным порядкам лейтенант и, на ходу нахлобучивая и поселковым медпунктам - словом, периодически посещается совершенно посторонними людьми.</p><EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> И тогда добрый дядя Сережа со стены последняя черточка серебра нового знака, чтобы дорога для.</p><EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <p style="color:#F0F8FF"> Вы же знаете, я его потеря, у меня такой еще.</p><EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> <EOL>
13-08-29 22:17:03 >> .<EOL>
13-08-29 22:17:03 << 250 52203CBF-0 Message accepted<EOL>
13-08-29 22:17:03 >> QUIT<EOL>
13-08-29 22:17:03 << 221 smtp.com Service closing transmission channel<EOL>
13-08-29 22:17:03 ** Disconnected.
En dit gaat dan zo door, echter telkens veranderd de URL in de mail ook.
Iemand een idee wat te doen?