Eu presumo, pelo que você diz, que você está em uma configuração onde você não pode restringir o download de URL de seus clientes com allow_url_fopen.
Nesse caso, é realmente muito difícil voltar ao script php de origem, já que o log tcpflow que você mostra não incorpora essa informação.
Uma opção fácil de considerar seria forçar qualquer solicitação de saída a ter um agente do usuário revelador que você poderia usar para identificar o cliente real que a criou.
Por exemplo, você pode adicionar à definição vhost do website client1 uma instrução
php_admin_value user_agent client1
Isso forçará qualquer solicitação http feita por esse site a usar o user-agent "client1", que será exibido em seu log tcpflow, permitindo que você saiba quem o originou.
Observe que, se a privacidade é uma preocupação, convém usar um user_agent que somente você pode mapear para o cliente real (como uma criptografia do nome do cliente).
No entanto, pode prejudicar a usabilidade, já que alguns sites serão exibidos de forma diferente, dependendo do user_agent fornecido, e que essa configuração evita propositalmente qualquer tentativa feita pelo seu cliente de alterá-lo.