Máy chủ của chúng tôi bị xâm phạm và chúng tôi muốn biết tài khoản nào đã gửi truy vấn độc hại từ máy chủ của chúng tôi. Tôi đã sử dụng tcpdump để có được điều này:
our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (không chính xác -> 0x5061), seq 0:741, ack 1, win 229, tùy chọn [nop,nop,TS val 260555861 ecr 3817788688], độ dài 741: HTTP, độ dài: 741
ĐĂNG /xmlrpc.php HTTP/1.1
Máy chủ: www.devynamaya.com
Tác nhân người dùng: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Độ dài nội dung: 484
Loại nội dung: ứng dụng/x-www-form-urlencoded
Mã hóa chấp nhận: gzip
Kết nối: đóng
<?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name> methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value>< mảng><dữ liệu><giá trị><chuỗi>quản trị viên</string></value><giá trị><chuỗi>mật khẩu123</string></value></data></array></value></data ></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]
Mặt khác, tôi đã cài đặt các công cụ khác như ngao, chrootkit , thợ săn ...vân vân. Và đối với các gói tcpdump, tôi sử dụng cá mập.
Vấn đề là dường như tôi không thể tìm thấy người dùng đã gửi gói đó để tôi có thể tạm ngưng tài khoản cpanel của họ.
Có công cụ nào giúp theo dõi tài khoản bị xâm phạm không? chúng tôi có hàng trăm người dùng trên máy chủ này và việc đó chẳng khác nào mò kim đáy bể.
Việc phân tích các gói sẽ trở nên vô ích nếu tôi không thể biết khách hàng nào có trang web bị xâm nhập.
Cảm ơn !
