В своих журналах я вижу случайные сообщения об отказе в selinux, которые, как мне кажется, указывают на то, что процесс httpd пытается подключиться к порту tor:
type = AVC msg = audit (1423247604.799: 1966): avc: отказано { name_connect } для pid = 25650 comm = "httpd"dest =9050 scontext = system_u: system_r: httpd_t: s0 tcontext = system_u: object_r:tor_port_t: s0 tclass = tcp_socket
Этот сервер не подключен напрямую к Интернету. Все HTTP-запросы передаются с сервера, подключенного к Интернету с помощью HAProxy, для передачи запросов туда и обратно. Веб-сайты на сервере - это сайты WordPress на нескольких разных виртуальных хостах. Ни один из сайтов не очень загружен.
Я не хочу включать sebool, чтобы httpd мог подключаться к сети где угодно, и это выглядит хорошей причиной не делать этого.
Меня беспокоит, почему процесс httpd вообще пытается это сделать и что сервер может быть каким-то образом скомпрометирован.
Любые предложения о том, как отследить источник, вызывающий эти попытки сетевого подключения?
Проверьте журнал ошибок httpd, чтобы узнать, что могло произойти.
Вы также можете просто ввести номер порта (9050) в исходном коде WordPress с помощью grep на случай, если он даст вам ключ к пониманию того, что происходит.