Van mijn datacenter heb ik een e-mail gekregen waarin staat dat er een brute force attack is uitgevoerd vanaf mijn server naar een andere server. De volgende log is meegestuurd:
**.***.**.*** (ip van mijn server) - - [05/Sep/2014:03:57:30 +0200] "POST /wp-login.php HTTP/1.0" 401 1217 "-" "-"
Nu denk ik dat 1 van mijn klanten via een PHP script een brute force attack uitvoert, alleen weet ik niet hoe ik dit moet traceren. Ik heb al in meerdere log files gekeken, maar kan er niet achter komen.
Mijn systeem draait op Debian.
Is er ergens een log waar ik alle uitgaande request kan inzien? Of weet iemand een andere methode om dit te achterhalen?