Мне сказали, что мой сервер сделал HTTP-загрузку несколько дней назад, и это может быть вирус. У меня есть исходный IP/порт запроса, целевой IP/порт, протокол, время, длина и метод.
Может быть, мой сервер взломан, но я хочу узнать, какой пользователь и какая программа сделала HTTP-запрос. Возможно ли это? Linux записывает все исходящие HTTP-запросы? Если нет, возможно ли это узнать с помощью информации выше?
решение1
если вы используете httpd сервер, то у вас есть http журнал, он может помочь вам с вашим запросом (есть доп.моддля Apache mod_dumpio может обеспечить лучшую обратную связь), и я предлагаю вам запустить эту команду по требованию, чтобы лучше узнать, что в данный момент запрашивает http на вашем сервере
# tcpdump filter for HTTP GET
sudo tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
# tcpdump filter for HTTP POST
sudo tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
# tcpdump for specific client
tcpdump -vvvnn port 80 and host ip_addr_of_client -i any