Questo è un esempio di un attacco che è successo al mio server?
Questo è successo qualche giorno prima che avessi controllato i log ... Ho controllato i log per vedere se c'era qualcosa di sbagliato dal momento che il mio server utilizza improvvisamente tutte le sue risorse (CPU e memoria) ...
Modifica: ho un cron che viene eseguito ogni giorno che cancella access_log, che è una cosa idiota da fare (rimosso oggi).
Potrebbe essere un attacco così come la preparazione per un attacco. Molto probabilmente si cerca di scoprire i plugin di wordpress installati o (a seconda della propria configurazione di apache / nginx), basta provare vari nomi predefiniti per i file (chiama l'enumerazione dei siti Web) per capire cosa si sta facendo. Ciò potrebbe portare ad alcuni tentativi di violazione effettiva del sito o potrebbe semplicemente raccogliere dati. Questo articolo mostra cosa succede se lo fai sui siti del govt;). Se si tratta di un tentativo effettivo, l'aggressore probabilmente ha raccolto molti exploit, imposta alcune dipendenze (come './cmv.php deve esistere e restituisce ...') e prova ad eseguirle. (Si potrebbe dire da log di accesso più dettagliati.)
In ogni caso. Se i tuoi log di accesso fossero più precisi, potresti distinguere queste due opzioni ma è probabile che non sia necessario. Questo accade alla maggior parte degli IP pubblici che hanno la porta 80 o 443 esposta quotidianamente perché c'è molta scansione e sfruttamento automatici in corso. Se la tua base di sicurezza funziona bene (come gli aggiornamenti, forse ModSecurity e così via) non c'è nulla di cui preoccuparsi veramente.