Meu servidor web foi infectado por um bot que força brutalmente atacando sites do Wordpress.
Eu posso ver as solicitações POST de saída e seu conteúdo, mas não consigo encontrar o script, o pid ou o usuário que está gerando essas solicitações. Claro que meu objetivo é remover esse software malicioso.
Você conhece alguma maneira de descobrir onde o tráfego de saída está sendo gerado?
Eu acredito que você quer netstat. Se não estiver instalado, abra o seu terminal e ...
sudo apt-get install netstat
Então:
netstat -man
Ou, para uma maneira mais rápida, isso deve fornecer mais informações do que você deseja:
netstat -a -v
Dependendo do nível de profundidade desejado, o Wireshark também é uma opção.