Serverul nostru este compromis și am dori să știm ce conturi au trimis interogările rău intenționate de pe serverul nostru. Am folosit tcpdump pentru a obține asta:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], lungime 741: HTTP, lungime: 741
POST /xmlrpc.php HTTP/1.1
Gazdă: www.devynamaya.com
Agent utilizator: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Lungimea conținutului: 484
Tip de conținut: application/x-www-form-urlencoded
Acceptare-Codificare: gzip
Conexiune: aproape
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name> methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value>< array><data><value><string>admin</string></value><value><string>parola123</string></value></data></array></value></data ></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
Pe de altă parte, am instalat diferite alte instrumente precum clamav, chrootkit , rkhunter ...etc. Și pentru pachetele tcpdump, folosesc wireshark.
Problema este că nu găsesc utilizatorul care a trimis acel pachet, astfel încât să-i pot suspenda contul cpanel.
Există instrumente care ajută la urmărirea contului compromis? avem sute de utilizatori pe acest server și este ca și cum ai căuta un ac într-un car de fân.
Analiza pachetelor ar fi pur și simplu inutilă dacă nu pot ști care client are un site web compromis.
Mulțumiri !
