1. нужно помониторить сеть, если есть возможность пакеты посниффать, TCP fingerprinting, есть возможность перенаправить http 1.0 запрос на другой сервер как-то? тогда можно скрипт подкинуть , но скоре всего это бот стучит с компа который malaware заражен.
Что значит с основного интерфейса, можно понятнее.?? Сетевой интерфейс и IP адрес это немного разные уровни сети не находите? у интерфейса может быть несколько адресов...