Мониторинг исходящих веб-трафика на CentOS

Сегодня я получил сообщение о том, что сервер, которым я управляю (Centos + Apache), запускает грубую атаку на сайты WordPress:

взломана-Joomla / brobot

Отправленные запросы выглядят так:

x.x.x.x - - [15/Nov/2015:19:37:14 +0100] "POST wp-login.php HTTP/1.1" 200 3963 "referer-domain.tld" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0"

Я попытался определить источник атаки, используя tcpdump, lsof а также netstat, но я не смог найти какую-либо полезную информацию.

Мне нужно иметь возможность отслеживать исходящий веб-трафик и видеть не только пункт назначения, но и источник - файл / vhost, с которого был отправлен запрос.

Любые предложения или рекомендации приветствуются!

PS Дэвид В. Спасибо за ссылку, но это очень общее руководство по взломанным серверам. У меня очень специфическая проблема - мне нужен эффективный инструмент / метод для отслеживания моего трафика, чтобы определить источник исходящей атаки. Я не опытный в сети и т. Д. И не использовал netstat, tcpdump а также lsof много, но я ищу похожий инструмент или комбинацию инструментов, которые могут предоставить мне данные о трафике, которые мне нужны.