Op mijn shared hosting platform wordt (waarschijnlijk door een lek in een formulier oid) een aanzienlijke hoeveelheid spam verstuurd via PHP5 op IIS6 en W2k3. In mijn php.ini staat een smtp-server die de verzending voor zijn rekening neemt. mail() levert de mails dus rechtstreeks op de verzendende mailserver af (dat mag omdat de shared host daarop gewhitelist is). Daar moet ik nu al mijn e-mails filteren op spam. Ik wil graag dat mijn klanten SMTP authenticatie gaan gebruiken voor het verzenden van e-mail, maar soms is dat niet mogelijk, en ik zou graag snel de bron van de spam willen aanpakken.

Ik zou willen kunnen zien van welk proces en welke user (alle websites / app-pools hebben een eigen user) de e-mail afkomstig is om te kunnen bepalen welke script/website lek is.

Ik heb al de MS SMTP service van IIS geinstalleerd. In combinatie met de IIS SMTP Monitor (hoststools.com) zou ik dat moeten kunnen zien, maar het lijkt niet te werken. Ik zie niks gebeuren in de mailroot-folders die deze tool zou moeten monitoren.

Heeft iemand een idee hoe ik dit beter/anders zou moeten aanpakken?

Met netstat -ano kan je zien welk proces welke verbinding gebruikt. In de task manager kan je zien welke gebruiker bij dat proces hoort.

Wat ik meestal doe, als ik een spam melding binnen krijg is:
- ga met cmd.exe naar de log partitie/dir
- find.exe -name ncYYMM.log -exec grep.exe -rl "DD\/Mmm\/YYYY:HH:MM.*POST" "{}" ;

Vaak geeft dit, op een honderdtal websites / logfiles, maar een paar "hits", waarop op dat specifieke tijdstip een POST opdracht uitgevoerd is. Het kost slechts luttele minuten om die logbestanden even bij langs te gaan om te zien of een script misbruikt wordt. De binaries find.exe en grep.exe komen uit wat GNU utils.

Verder kun je ook altijd met de Sysinternals tools (Process Explorer, FileMon, ...) gaan zoeken.

Bedankt! Ik ga inderdaad aan de slag met de logfiles van de webserver!