求帮忙分析我的PHP接口，是被谁“黑”的

    我的ECS 是linux  WDCP 的一键包安装的


    我的ECS 只是放了一个  api.xxxx.com/api.php  是一个与app通讯的数据接口


    今天早晨起来，发现多了几十条以前半个月前一个用户（我自己人）发的一条数据，如下图


  
点此打开大图  



     在论坛里发现也有这样的情况，这种是被 注入了


     但是我这个项目还在公司内部测试，没别人知道


     提交内容需要带上 user_token 密钥的，是怎么被别人知道的呢，内部人员肯定不会



      经过在论坛中了解，   有兄弟 说是   云盾检测  导致的


       但是我打开云盾，发现一条异常， 说是 昨晚 也就是 “注入” 的时候， 来自  美国的IP  的一个  远程执行  攻击，已被拦截。

       如果是云盾 ，那怎么会是 美国的IP 呢， 求各位大大帮忙看看