Здравствуйте!
Подскажите пожалуйста. У меня 22-го числа, этого месяца начались появляться не понятные для меня логи. И с каждым днем их всё больше.
Не понятный ip адрес, по 15-ти разным портам за пять минут сегодня утром, 27 записей в error log
вот два лога, они повторяются, с одного ip, но разные порты. После разшифроки они выглядят так:
[Sat Mar 26 08:08:08 2016] [error] [client 136.243.152.18:51809] База данных WordPress возвратила ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ')' at line 1 в ответ на запрос SELECT time_action, user AS ID FROM zl_rcl_user_action WHERE user IN (), выполненный require('wp-blog-header.php'), require_once('wp-includes/template-loader.php'), include('/themes/responsive/page.php'), the_content, apply_filters('the_content'), call_user_func_array, do_shortcode, preg_replace_callback, do_shortcode_tag, call_user_func, rcl_get_userlist, Rcl_Users->get_users, apply_filters('rcl_users'), call_user_func_array, Rcl_Users->add_time_action [Sat Mar 26 08:08:08 2016] [error] [client 136.243.152.18:51809] База данных WordPress возвратила ошибку You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') AND meta_key IN ('den_rozhdeniya_53','semejnoe_polozhenie_92','pol_96')' at line 1 в ответ на запрос SELECT meta_key,meta_value, user_id AS ID FROM zl_usermeta WHERE user_id IN () AND meta_key IN ('den_rozhdeniya_53','semejnoe_polozhenie_92','pol_96'), выполненный require('wp-blog-header.php'), require_once('wp-includes/template-loader.php'), include('/themes/responsive/page.php'), the_content, apply_filters('the_content'), call_user_func_array, do_shortcode, preg_replace_callback, do_shortcode_tag, call_user_func, rcl_get_userlist, Rcl_Users->get_users, apply_filters('rcl_users'), call_user_func_array, Rcl_Users->add_profile_fields
И вот я не пойму, или это напакастить кто-то пытается, или что-то с чем-то конфликтует. Подозрительно что ip адрес вроде как прокси сервера.
Может это для людей знающих что-то понятное. С 22-го числа вроде не чего кроме wp-recall не обновлялось. Бекап пока делать не хочу, может я просто зря паникую.
Благодарен за любой совет!
Заранее спасибо!
Otshelnik-Fm сказал(а)
Давайте версию реколл и страницу на список всех пользователей на вашем сайте
(вы лог точно весь привели? Реферера там нету в строчке? Хотя мне кажется это страница всех юзеров)
Версия 14.2.1
Ссылку на юзверей и на лог сегодняшний сейчас в личку кину.
Может это я шорткод по дибильному сделал, он у меня сейчас такой:
userlist inpage="30" orderby="time_action" template="rows" data="rating_total,profile_fields,comments_count,posts_count,description" filters="1" order="DESC"
Тогда вам надо зайти на другие страницы вашего сайта (не записи, а страницы) и найти какая генерит ошибку. В логах видно что это на основе page.php.
Еще в access.log посмотреть на момент ошибки Sat Mar 26 08:08:08 2016, что и кто, и куда отправлял (post,get,head) какие запросы.
Otshelnik-Fm сказал(а)
Тогда вам надо зайти на другие страницы вашего сайта (не записи, а страницы) и найти какая генерит ошибку. В логах видно что это на основе page.php.
Еще в access.log посмотреть на момент ошибки Sat Mar 26 08:08:08 2016, что и кто, и куда отправлял (post,get,head) какие запросы.
У меня "журнал доступа" выключен был, только "журнал ошибок" вёл. Сейчас включу. Спасибо! Буду разбираться. Главное что я боялся что атака какая-то 🙂
Атака из 20 ошибок это не атака 🙂 Просто возможно боты лезут туда куда не надо - прощупывают дыры и пытаются вывести на экран что-то. Это обычное дело. Подобного типа сообщения в логах видел (не один в один, но что-то похожее). Но за последнюю неделю такого ни одного
Но может быть это ошибки и самого вордпресса или реколл - тогда да - надо найти, повторить и закрыть ее, отправив сюда баг репорт
Вообщем проблема повторилась. По горячим следам был найден нарушитель crawl-66-249-69-95.googlebot
Который давал GET запросы.
У меня от поисковых ботов страница юзеры не закрыта. Это гугл ломился, а ранее наверное Yahoo или ещё что-то.
В моем случае ломятся по такому запросу :
/users/?usergroup=semejnoe_polozhenie_92:Всё сложно&users-filter=comments_count
Вот полные данные из access :
66.249.69.95 - - [26/Mar/2016:12:17:03 +0300] "GET /users/?usergroup=semejnoe_polozhenie_92:%D0%92%D1%81%D1%91%20%D1%81%D0%BB%D0%BE%D0%B6%D0%BD%D0%BE&users-filter=comments_count HTTP/1.1" 200 29805 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Попробовал ввести этот Урл с браузера, ошибка повторилась. Наверно просто закрою от индекса эту страницу.