Eu tenho um servidor (centos com cpanel) na AWS e recebi um relatório de abuso dizendo que meu servidor está fazendo algum ataque a outros servidores. Provavelmente Está acontecendo porque meu servidor tem muitos WordPress instalados e provavelmente um deles está infectado.
O relatório mostra um domínio específico e todas as solicitações são POST e GET.
Domain: my---irls.com (195.XX.XXX.162)
Aqui estão mais informações sobre MY_SERVER_IP:
Linhas contendo IP em /furanet/sites/*/web/htdocs/logs/access
/furanet/sites/my---irls.com/web/htdocs/logs/access:MY_SERVER_IP - - [31/Oct/2017:19:54:01 +0100] "GET /wp-login.php HTTP/1.1" 200 2655 "-" "-" "Mozilla/5.0 (iPad; CPU OS 9_2_1 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) GSA/5.3.48993 Mobile/13D15 Safari/600.1.4"
/furanet/sites/my---irls.com/web/htdocs/logs/access:MY_SERVER_IP - - [31/Oct/2017:19:54:03 +0100] "GET /?author=1 HTTP/1.1" 200 115887 "-" "-" "Mozilla/5.0 (iPad; CPU OS 9_2_1 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) GSA/5.3.48993 Mobile/13D15 Safari/600.1.4"
...
Então, eu gostaria de saber se é possível descobrir qual domínio está fazendo esses ataques e se eu posso registrar todas as solicitações de saída (POST e GET) para fazer uma pesquisa quando eu precisar.
Eu estava lendo sobre o tcpdump, mas não tenho conhecimento suficiente para fazê-lo.
Obrigado!