誰かが私のサーバーに数日前にHTTPダウンロードがありましたが、ウイルスだったかもしれないと言いました。要求の送信元IP /ポート、宛先IP /ポート、プロトコル、時間、長さ、および方法があります。
私のサーバーがハッキングされている可能性がありますが、どのユーザーとどのプログラムがHTTPリクエストを行ったかを知りたいです。可能ですか? Linuxは発信するすべてのHTTPリクエストを記録しますか?そうでない場合は、上記の情報を使用して見つけることができますか?
ベストアンサー1
httpdサーバーを使用している場合は、要求に役立つ可能性があるhttpログがあります。基準寸法より良いフィードバックを提供できるApache mod_dumpioの場合は、要求時にこのコマンドを実行して、現在のサーバーからhttpが何を要求しているかをよりよく理解することをお勧めします。
# tcpdump filter for HTTP GET
sudo tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
# tcpdump filter for HTTP POST
sudo tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
# tcpdump for specific client
tcpdump -vvvnn port 80 and host ip_addr_of_client -i any