Цитата
GET /<aбракадабра 7-10 символов>/<абракадабра длинной 5-32символа>
с периодиностью около 2-3 в секунду. IP много IP разные, но в основном СНГ
С таком варианте как оно сейчас, оно не опасно, сервер также работает, скрипт отфильтровывает сей невалид на первых строчках кода.
Единственная проблема - логи. Это тоже как оказалось не проблема.
Чистится достаточно просто.По российским[maxmind] IP: самый активный Ip(подсеть генерирует процентов 30 от всех этих запросов) найден и написано письмо провайдеру с просьбой пояснить, что вобщем-то происходит, 15 запросов в минуту это диструктивная активность, 2 суток ответа нет.
Все почти IP откликаются по 80 порту.
В попытках выяснить сходство выяснено, что процентов 30-40 имеют ispmngr, процентов 20 DA, 5-7 Cpanel.
Со временем плотность запросов увеличивается. limit_req_module проблему решил.
Вопросы: может это какие-то хитрые ПС так изощряются?
Если это не ПС то решим проблему средствам фаервола
Мне не понятно: или такой процент ispmngr из-за СНГ или сея деструктивная активность связана с какими-то его проблемами, я поискал информацию о его проблемах, где мог, проблем у него нет, по крайней мере я на это надеюсь.
Если бы ресурс хотели положить, я думаю, его бы положили в первые сутки, то что сейчас видно, похоже на что угодно, но не на атаку.
хотя, это может быть только верхушка айсберга, на сервере ведется черный список, после предыдущей такой-же "атаки"(запрос определенного URL я наловил около 2к исключительно китайских и украинских IP), аналогично, туда добавляются подозрительные подсети вручную.
Заранее спасибо за советы