222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
Há muito tráfego com o método POST do IP 222.186..então eu tenho alto uso da CPU. Minha pergunta, é atacado? como evitá-lo? (não quero bloquear esses ip), e não entendi o log, diz "POSThttp://123.249.24.233/POST_ip_port.phpHTTP/1.0" no POST normal, a URL deve vir do local, mas é externa.
A propósito, eu uso nginx, php5-fpm e wordpress e recebi muitos POST para xmlrpc.php, mas resolvi isso removendo e adicionando regras.
Responder1
Como é apenas a Camada 7; basta instalar algo como DDOS Deflate ou rota nula no intervalo de IP.
Para anular a rota do IP:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
Saída
RTNETLINK answers: Network is unreachable
Para anular a rota de toda a sub-rede:
route add -net 222.186.0/24 gw 127.0.0.1 lo
Ou para instalar o DDOS Deflate:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(Desinstalar) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
Se o ataque ainda for muito grande, recomendo entrar em contato com seu ISP; no entanto, outra opção é obter um proxy reverso que tenha proteção DDOS contra ataques da camada 7, comohttp://x4b.net(Solução bastante barata)
Espero que isto ajude.