Сегодня на сервере произошла нетипичная активность по входящему, исходящему трафику, запросам к БД. На графиках это видно сприблизительно с 5 до 8 часов.
Как можно узнать, какой сайт из установленных, является источником/объектом активности? Что является источником в счмыле, откуда пришло и как проникло? Где и как это правильно искать в логах?
Какую дополнительную информацию предоставить?
Север: типичный LAMP, Ubuntu 14.04 Несколько сайтов на вордпресс, форум MYBB, сайт на GRAV. Всё из официальных реп, ничего ломаного, варезного, нуленого. Всё апдейтится и апгрейдится вовремя. Работало безпроблемно полгода. Недавные действия на сервере (перед всплеском активности). За три дня до - изменение конфигов mysql, за два дня до установка phplist (http://phplist.org/) Только установка, без настройки, без подписчиков. То есть он ничего и никому слать не должен.
rkhunter --check Ничего не обнаружил
вывод nmap
Код: Выделить всё
Starting Nmap 6.40 ( http://nmap.org ) at 2016-03-01 11:30 NOVT
Host is up (0.098s latency).
Not shown: 984 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp closed https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
2525/tcp open ms-v-worlds
3306/tcp closed mysql
5432/tcp closed postgresql
8083/tcp open us-srv
12000/tcp closed cce4x