Eu mudei recentemente meu servidor de hospedagem para a AWS. e na inicial tudo estava funcionando bem, mas recentemente eu estou enfrentando problemas com o meu servidor que ele desce várias vezes.
Eu monitorei de perto e fiquei sabendo que a utilização da CPU vai para 100% várias vezes e sempre que preciso reiniciar minha instância.
Então eu verifiquei o log de acesso e os logs de erro e parece que algumas atividades de hacking estão no meu servidor.
Por favor, veja abaixo os registros do meu arquivo de registro de erros:
[Wed Sep 23 14:25:56.081268 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1' OR 2+20-20-1=0+0+0+1 or 'Q2fRfUkq'='
[Wed Sep 23 14:25:56.122526 2015] [:error] [pid 18780] [client 193.0.***.***:59939] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: @@EKtcl
[Wed Sep 23 14:25:56.365583 2015] [:error] [pid 18788] [client 193.0.***.***:59930] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: -1" OR 2+392-392-1=0+0+0+1 --
[Wed Sep 23 14:25:56.663520 2015] [:error] [pid 18786] [client 193.0.***.***:59908] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: if(now()=sysdate(),sleep(9),0)/*'XOR(if(now()=sysdate(),sleep(9),0))OR'"XOR(if(now()=sysdate(),sleep(9),0))OR"*/
[Wed Sep 23 14:25:56.994941 2015] [:error] [pid 18791] [client 193.0.***.***:59940] script '/var/www/html/includes/custom.php' not found or unable to stat, referer: (select(0)from(select(sleep(9)))v)/*'+(select(0)from(select(sleep(9)))v)+'"+(select(0)from(select(sleep(9)))v)+"*/
Agora aqui eu posso ver que está tentando acessar o arquivo não existente e adicionar injeções sql, e coisas inacreditáveis é o seu funcionamento, usando minha utilização da CPU para 100% e o serviço mysql usa 90% aqui.
Então, como evitar isso, por favor me ajude da mesma forma.
Está tendo acesso mysql aqui para que isso aconteça?
Como podemos ver, não há nenhum custom.php disponível, então como eles estão executando consultas mysql no servidor?
E o mais importante é que o hacker hackeia o curl ou o post script, mas não usa minha máquina atall