222.186.129.5 - - [19/Jun/2015:16:56:28 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184 "http://123.249.24.233/POST_ip_port.phpAccept: */*" "Mozi$
222.186.30.111 - - [19/Jun/2015:16:56:29 +0000] "POST http://123.249.24.233/POST_ip_port.php HTTP/1.1" 301 184
С IP 222.186.0.1 поступает очень много трафика методом POST..поэтому я получил высокую загрузку процессора. Мой вопрос, он атакован? как этого избежать? (я не хочу блокировать эти ip), и я не понимаю насчет журнала, он говорит "POSThttp://123.249.24.233/POST_ip_port.php«HTTP/1.0» в обычном POST-запросе URL должен быть локальным, но он внешний.
Кстати, я использую nginx, php5-fpm и WordPress, и у меня было так много POST-запросов на xmlrpc.php, но я решил эту проблему, удалив и добавив правила.
решение1
Так как это всего лишь уровень 7, просто установите что-нибудь вроде DDOS Deflate или нулевой маршрут для диапазона IP-адресов.
Чтобы обнулить маршрут IP:
route add -host 222.186.129.X reject
ip route get 222.186.129.x
Выход
RTNETLINK answers: Network is unreachable
Чтобы обнулить маршрут для всей подсети:
route add -net 222.186.0/24 gw 127.0.0.1 lo
Или для установки DDOS Deflate:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh
(Удалить) ->
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
./uninstall.ddos
Если атака все еще слишком масштабна, чтобы справиться с ней, я рекомендую обратиться к вашему интернет-провайдеру. Однако другой вариант — получить обратный прокси-сервер с защитой от DDOS-атак уровня 7, таких какhttp://x4b.net(Довольно дешевое решение)
Надеюсь это поможет.