Me mencionaron que mi servidor realizó una descarga HTTP hace algunos días y puede ser un virus. Tengo la IP/puerto de origen de la solicitud, la IP/puerto de destino, el protocolo, la hora, la duración y el método.
Tal vez mi servidor esté pirateado, pero quiero saber qué usuario y qué programa realizó la solicitud HTTP. ¿Es posible? ¿Linux registra todas las solicitudes HTTP salientes? Si no es así, ¿puedo encontrarlo con la información anterior?
Respuesta1
Si está utilizando el servidor httpd, entonces tiene un registro http que puede ayudarle con su solicitud (hay opciones adicionalesmodificaciónpara Apache mod_dumpio puede proporcionar mejores comentarios), y le sugiero que ejecute este comando a pedido para saber mejor qué está solicitando http actualmente en su servidor
# tcpdump filter for HTTP GET
sudo tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
# tcpdump filter for HTTP POST
sudo tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
# tcpdump for specific client
tcpdump -vvvnn port 80 and host ip_addr_of_client -i any