Mencionei que meu servidor fez um download HTTP há alguns dias e pode ser um vírus. Eu tenho o IP/porta de origem da solicitação, o IP/porta de destino, o protocolo, a hora, a duração e o método.
Talvez meu servidor tenha sido hackeado, mas quero descobrir qual usuário e qual programa fez a solicitação HTTP. É possível? O Linux registra todas as solicitações HTTP de saída? Caso contrário, é possível encontrar com as informações acima?
Responder1
se você estiver usando o servidor httpd, então você tem um log http que pode ajudá-lo com sua solicitação (há extramodapara Apache mod_dumpio pode fornecer um feedback melhor), e sugiro que você execute este comando sob demanda para saber melhor o que está solicitando http no momento em seu servidor
# tcpdump filter for HTTP GET
sudo tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
# tcpdump filter for HTTP POST
sudo tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
# tcpdump for specific client
tcpdump -vvvnn port 80 and host ip_addr_of_client -i any