<div dir="ltr"><div>I've seen the rest of this thread, and there are many good ideas, fail2ban is great, i actually use it with wazuh.  The best security measure i ever made with wordpress is changing the name of the /admin/login.php and disabling or at least access listing the api.   If no one needs api access, shut it off.  With fail2ban with wazuh, perhaps fail2band handles this on its own, you can set up volume rules which will create FW rules.  Also, i like to put in a snippit into nginx config for to many responses. <br></div><div><br></div><div>  limit_req_zone $limit_key zone=req_limit:10m rate=10r/s;<br>  limit_req_log_level warn;<br>  # don't use 503 as we have specific logic for that status<br>  limit_req_status 420;</div><div><br></div><div>As the comment says we handle 503's and other status codes differently, so i adopted Twitters Ease You Calm status code.  Change the limits to your environment.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Aug 24, 2020 at 7:23 AM Anderson dos Santos Donda <<a href="mailto:andersondonda@gmail.com">andersondonda@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="font-family:sans-serif;font-size:medium">Hello everyone,</span><br style="font-family:sans-serif"><br style="font-family:sans-serif"><span style="font-family:sans-serif;font-size:medium">I’m new in the webserver world, and I have a very basic knowledge about Nginx, so I want apologize in advance if I'm making a stupid question.</span><br style="font-family:sans-serif"><br style="font-family:sans-serif"><span style="font-family:sans-serif;font-size:medium">I have a very basic webserver hosting a WordPress webpage and in the past 3 days I have receiving thousands of below request:</span><br style="font-family:sans-serif"><br style="font-family:sans-serif"><span style="font-family:sans-serif;font-size:medium">5.122.236.249 - - [24/Aug/2020:12:30:41 +0200] "\x1E\x80\xEBol\xDF\x86z\x84\xA4A^\xAF;\xA1\x98\x1B\x0E\xB7\x88\xD3h\x8FyW\xE4\x0F=.\x15\xF7f:9\xF7\xC3\xBB\xB1}n\xA5\x88\x8B\xE7\xF4\x5C\x80\x98=\xE2X\xC8\xD4\x1Bv/\xDC3yAI\xEE\xE6\xFA\xB1\xF3\x90]\x9EG\xFD\x9B\xAB\x9B:\xA7q\x82*\xE1:\x1A</span><br>5.122.236.249 - - [24/Aug/2020:12:30:41 +0200] "P\xCE \x9C\xA9\xB6pS\xD6#1\x84\x22\xB0s\xB8\xAA\x09\x06Ex\xDD\x88\x11\xFC\x0E\xDB\x04\x18~*\xE7h\xD2H\xD422\x83,\xB3u\xDF|\xED\x8BP\x9Box\xA4\x042\xFBz\xAAh\xF9\x14^\x96\xDD\x1D\xF6\xDD*\xF4" 400 173 "-" "-”<br><br>This comes from a hundred of different IPs and in many requests at same time.<br><br>Is this kind of DDOS attack or a legitimate request(which my server returns 400 for them)?<br><br>If is an attack, has a specific name that I can search and try to understand it better and mitigate it?<br><br>Thank so much for the help.<br><br><div>Best Regards,</div><div>Donda</div><br><br>-- <br><div dir="ltr"><div><div dir="ltr">Att.<br>Anderson Donda<br><div><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><i style="background-color:rgb(255,255,255)"><font color="#000099">" </font></i><i style="font-family:arial;font-size:small"><font color="#000099">Mar calmo não cria bom marinheiro, muito menos bom capitão.</font></i><i style="background-color:rgb(255,255,255)"><font color="#000099">"</font></i></blockquote></div></div></div><br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a></blockquote></div>