Есть сайт, написанный на PHP с использованием массы сторонних PHP библиотек, модулей (полный хаос, неподдерживаемый код). В панеле управления хостинг провайдера фиксируется аномально большой исходящий трафик на несколько одних и тех-же IP адресов (Германия, США). В теле файлов проекта и БД данных IP адресов и URL-ов, которые могли бы им соответствовать поиском не находит. Почти каждый день передается\выгружается по несколько гигабайт информации причем в произвольное время, сегодня может быть 1Гб, а завтра 3Гб.
Как «придавить» трафик я знаю (закрыть на стороне провайдера доступ на эти IP адреса и сайт продолжает успешно работать и вопрос закрыт) но хочется узнать, как «отловить» скрипт, который выполняет отправку данных (отвечает за отправку\выгрузку данных) если проект состоит из тысяч файлов, понять, что именно выгружается (получить хотя-бы фрагмент данных), каким методом это реализовано (fsockopen, file_get_contents, curl)?
Пробовал https://habr.com/ru/sandbox/122343/ Логирование всех POST и GET запросов. Рассчитывал на то что выгрузка происходит в ответ на внешний запрос, но в огромном журнале не нахожу ничего подозрительного.
Посоветуйте куда копать?