Наш сервер скомпрометирован, и мы хотели бы знать, какие учетные записи отправляли вредоносные запросы с нашего сервера. Я использовал tcpdump, чтобы получить это:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (неверно -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], длина 741: HTTP, длина: 741
ПОСТ /xmlrpc.php HTTP/1.1
Хост: www.devynamaya.com
Агент пользователя: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Длина контента: 484
Content-Type: application/x-www-form-urlencoded
Принять кодировку: gzip
Подключение: закрыть
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name> methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value>< массив><данные><значение><строка>admin</string></value><value><string>пароль123</string></value></data></array></value></data ></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
С другой стороны, я установил другие инструменты, такие как моллюск, chrootkit , рххантер ...и т.д. А для пакетов tcpdump я использую проволочная акула.
Проблема в том, что я не могу найти пользователя, отправившего этот пакет, чтобы приостановить действие его учетной записи cpanel.
Существуют ли инструменты, помогающие отследить скомпрометированную учетную запись? у нас есть сотни пользователей на этом сервере, и это все равно, что искать иголку в стоге сена.
Анализ пакетов был бы просто бесполезен, если бы я не мог знать, у какого клиента есть скомпрометированный веб-сайт.
Спасибо !
