如何找到發送數據包的linux使用者

我們的伺服器遭到入侵，我們想知道哪些帳戶從我們的伺服器發送了惡意查詢。我用 tcpdump 來得到這個：

our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741
   POST /xmlrpc.php HTTP/1.1
   Host: www.devynamaya.com
   User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
   Content-Length: 484
   Content-Type: application/x-www-form-urlencoded
   Accept-Encoding: gzip
   Connection: close
   
   <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]

另一方面，我安裝了不同的其他工具，例如，，clamav…等。對於 tcpdump 數據包，我使用.chrootkit``rkhunter``wireshark

問題是我似乎找不到發送該數據包的使用者，因此我可以暫停他們的 cpanel 帳戶。

是否有任何工具可以幫助跟踪被入侵的帳戶？我們在這台伺服器上有數百名使用者，這就像大海撈針。

如果我不知道哪個客戶端的網站受到攻擊，那麼分析數據包將毫無用處。

謝謝 ！

大多數受感染的帳戶/伺服器往往在其中包含惡意軟體​​，這些惡意軟體會發送我們的惡意查詢、由於受感染的文件而發送的垃圾郵件等。此時分析數據包會有點困難且毫無用處。

您可以做的是使用Maldet掃描使用者文件根目錄

我以前使用過maldet，它是一個很棒的工具，它有自己的簽名數據庫，當clamav 安裝並可用時，它使用clamav 作為引擎。

引用自：https://serverfault.com/questions/1075270