Я испытал необычайную нагрузку на процессор в моем плане хостинга (план общего хостинга с несколькими размещенными веб-сайтами), и я обнаружил, что многие процессы происходили с одного веб-сайта электронной коммерции. Я выключил веб-сайт, и загрузка процессора снизилась (снова была в нормальной зоне).
Я попытался выяснить, что вызвало этот поиск, через файлы журнала проблемного веб-сайта c. Я обнаружил, что файлы журнала создавались каждые 2-3 минуты, и все файлы содержали строки кода, похожие на следующий блок (я изменил имя пользователя БД и реальные имена папок по соображениям безопасности):
[20-Mar-2020 06:36:30 America/Chicago] PHP Warning: mysqli_connect(): (28000/1045): Access denied for user 'dbuser'@'localhost' (using password: YES) in /home4/myroot/public_html/website_folder/includes/classes/db/mysql/query_factory.php on line 64
[20-Mar-2020 06:36:30 America/Chicago] Request URI: /, IP address: 31.13.103.24
#1 mysqli_connect() called at [/home4/myroot/public_html/website_folder/includes/classes/db/mysql/query_factory.php:64]
#2 queryFactory->connect() called at [/home4/myroot/public_html/website_folder/includes/init_includes/init_database.php:23]
#3 require(/home4/myroot/public_html/website_folder/includes/init_includes/init_database.php) called at [/home4/myroot/public_html/website_folder/includes/autoload_func.php:48]
#4 require(/home4/myroot/public_html/website_folder/includes/autoload_func.php) called at [/home4/myroot/public_html/website_folder/includes/application_top.php:170]
#5 require(/home4/myroot/public_html/website_folder/includes/application_top.php) called at [/home4/myroot/public_html/website_folder/index.php:26]
и аналогичные блоки кода, которые начинались с этой строки:
[24-Mar-2020 08:57:10 America/Chicago] PHP Warning: mysqli_connect(): (28000/1045): Access denied for user 'root'@'localhost' (using password: NO) in /home4/myroot/public_html/website_folder/includes/classes/db/mysql/query_factory.php on line 64
Один файл журнала содержал десятки этих блоков кода - один под другим. Выглядит ли это как внешняя попытка скомпрометировать веб-сайт (например, sql попытки внедрения)?
Я вижу многочисленные файлы журнала с этими строками, соотнесенными с высокой загрузкой ЦП. У кого-нибудь есть объяснение?
Спасибо!