222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
Hay muchísimo tráfico con el método POST desde IP 222.186..Entonces tuve un uso elevado de la CPU. Mi pregunta, ¿es atacado? ¿cómo evitarlo? (no quiero bloquear esas IP) y no entiendo lo del registro, dice "POSThttp://123.249.24.233/POST_ip_port.phpHTTP/1.0" en el POST normal, la URL debe provenir de local pero es externa.
Por cierto, uso nginx, php5-fpm y wordpress y obtuve tantas POST en xmlrpc.php pero lo resolví eliminando y agregando reglas.
Respuesta1
Dado que es sólo la Capa 7; simplemente instale algo como DDOS Deflate o ruta nula del rango de IP.
Para enrutar nula la IP:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
Producción
RTNETLINK answers: Network is unreachable
Para enrutar nula toda la subred:
route add -net 222.186.0/24 gw 127.0.0.1 lo
O para instalar DDOS Deflate:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(Desinstalar) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
Si el ataque aún es demasiado grande para manejarlo, recomiendo contactar a su ISP; sin embargo, otra opción es obtener un proxy inverso que tenga protección DDOS contra ataques de Capa 7, comohttp://x4b.net(Solución bastante barata)
Espero que esto ayude.