Как найти файл из которого пытаются подключиться к базе?

Question

[Jiffa]

Добрый день, сегодня заметил в логах сервера много записей типа
Access denied for user 'admin'@'localhost' (using password: YES)

Насколько я понимаю кто-то пытается подобрать пароль к базе. Проверил все файлы, которые менялись за последний месяц в директории /var/www, ничего необычного не нашел. В процессах тоже ничего не вижу. Как можно обнаружить из какого файла идет попытка подключения?
Система debian 8.7, база MariaDB 10.1

Comments

[hint000]

Готового решения не дам, только направление. Напрямую - никак. Надо отслеживать сетевые соединения, идущие на порт MySQL. Если зловред действительно локальный, то можно отследить из какого процесса идут эти соединения. Когда найдёте процесс, то уже можно расследовать, откуда он был запущен.

Answer 1

[Jiffa]

Непосредственно на этот вопрос ответ я так и не нашел, но оказалось что запросы идут с формы авторизации phpmyadmin. Закрыл её http аутентификацией и подозрительные записи в логах перестали появляться