最近,多名员工来找我说,他们的交易所账户在几天的时间跨度内遭到入侵。我有一个理论,域内的一台计算机上存在某种形式的蠕虫,它会定期向客户和承包商发送垃圾邮件/网络钓鱼链接。我已经在所有计算机上尝试了多个 AV 扫描仪,但它们都变成了空的。
这个问题的要点:我需要找出用户登录的来源,以便我可以开始解决问题。 我如何找出用户登录的来源以及登录发生的时间,以便可以与返回给我们的一些被拒绝的垃圾邮件交叉引用。
- 交换 2016 CU9 v15.1
- 视窗服务器 2016 v1607
AskOverflow.Dev
您可以导航到存储 IIS 日志的以下位置:
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1IIS 日志包括来自 ECP、OWA、ActiveSync、Mapi 等的访问请求信息(例如 IP 地址、用户名、服务、端口)。
IIS 日志中的信息如下所示:
也许IIS日志可以帮助您找到罪魁祸首。
另外,根据您的描述,您的Exchange服务器版本不是最新的,最好安装最新的CU/SU版本的Exchange。通常,最新的 CU/SU 包括针对非安全问题的修复程序以及所有以前发布的针对安全和非安全问题的修复程序:用于 Exchange 2016 的 CU22
最近在Exchange 2013/2016/2019中发现了几个漏洞,其中一个漏洞与欺骗有关:
发布时间:2021 年 11 月 Exchange Server 安全更新
Microsoft Exchange Server 2019、2016 和 2013 安全更新说明:2021 年 11 月 9 日 (KB5007409)