Исправление dopedopedope, (текущая версия) :
Fail2ban - оказывается крутая штука, но она становится довольно тормозной, когда блочится много хостов, перестартовывает около 10-минут.
В общем, менее чем за сутки забанилось: 2983 хоста по маске *glitter_calendar*. Не знаю, много это или мало. Какой-то китайский ботнет. Заходил по линкам, там некие фейковые блоги маленьких девочек, с кучей вырвиглазной анимации вплоть до курсора.
Теперь дальше изучаю лог и вижу, что обращения к /feed/ идут только с 2a02:c200:0:10:2:6:4108:1. Это на ip v6 похоже, не? Как-то странно выглядит, местами по 2 или одной цифре разделены ":". Его можно как-то заблокировать?
Понятное дело, что нужно тьюнить MySQL. Проверял утилитой mysqltuner и подкручивал в соответствии с лучшими практиками.
Но проблема реально во вредоносном трафике, т.е. запросы с 3000 хостов на сервер создают менее 10% нагрузки. А потом приходит волна, которая создает такую нагрузку, что консоль просто замерзает.
Исходная версия dopedopedope, :
Fail2ban - оказывается крутая штука, но она становится довольно тормозной, когда блочится много хостов, перестартовывает около 10-минут.
В общем, менее чем за сутки забанилось: 2983 хоста по маске *glitter_calendar*. Не знаю, много это или мало. Какой-то китайский ботнет. Заходил по линкам, там некие фейковые блоги маленьких девочек, с кучей вырвиглазной анимации вплоть до курсора.
Теперь дальше изучаю лог и вижу, что обращения к /feed/ идут только с 2a02:c200:0:10:2:6:4108:1. Это на ip v6 похоже, не? Как-то странно выглядит, местами по 2 или одной цифре разделены ":". Его можно как-то заблокировать?
Понятное дело, что нужно тьюнить MySQL. Проверял утилитой Но проблема реально во вредоносном трафике, т.е. запросы с 3000 хостов на сервер создают менее 10% нагрузки. А потом приходит волна, которая создает такую нагрузку, что консоль просто замерзает.mysqltuner и подкручивал в соответствии с лучшими практиками.