Имеется дедик для хостинга ограниченного круга сайтов. Посторонних клиентов на нем нет. Доступ по SSH только по ключу для администратора сервера. Установлен fail2ban, отслеживающий и банящий на сутки все попытки брута фтп, почты, ssh и т.д. Но месяц назад от хостера пришла жалоба, на подозрительную активность с нашего IP.
Сразу же проверили все логи за указанное время - ничего. Запускали maldet, clamv - всё чисто.
Из сайтов стоят в основном на своем закрытом движке, битриксе и webasyst пара. Всё проверили - ничего лишнего не нашли. Отписались хостеру что всё проверили, на том жалобу и закрыли.
И вот сегодня опять жалоба. Жалуются с того же адреса что и в первый раз, но в логах приводят другой сайт с другим ip:
[Fri Jan 08 18:41:52 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:53 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:54 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:55 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:56 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:57 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:58 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
[Fri Jan 08 18:41:59 2016 [client 89.108.105.30] [hostname "www.unemed.com"] [uri "/wp-login.php"]
Опять затеяли проверку - опять всё чисто. Погуглил - в основном советуют смотреть текущие процессы. Но в нашем случае получается, что происходят попытки исходящих подключений с какой-то периодичностью. Причем на какого-то определенного хостера, по определенному адресу (wp-login.php). И около 8 попыток за раз каждый месяц. Как такое можно отследить?
Простой