Spaceweb блокирует аккаунт из-а странной нагрузки

не нужно делать блэклист у вас процессорное время все равно будет расходоваться на обработку паразитного трафика, тут нужен реалтайм и только он.

куки самое примитивное что может сработать в вашей ситуции но нужно будет делать исключения для поисковиков и др. если это требуется.

Я думаю что флуд идет с одного айпи с подменой разных рефферов. Залочить айпи и жить спокойно. Вообще хостер сам должен был это решить не ставя вас в известность - ибо таких мини-атак на дню может быть по несколько. Мало ли кто тренеруется или баллуется.

По логам видно, что IP разные и их немало. 42000 запросов в час

alarm, IP разные, но не факт что реальные.

alarm, тут нужен анализ, попросите у провайдера веб лог скажем за последние пару часов, если вы говорите что там ~40k запросов в час, то для статистических данных 2-3 часа ... т.е 80-120к запросов это вполне серьезная штука... проанализируйте referer , если они генерятся случайным образом, т.е являются полным бредом .... то опираться на них не получится, однако набор referer может быть ограничен 100-200 вбитыми в базу данными, тогда набор rewrite рулей поможет избавиться от части нагрузки. В случае если рефереры таки полностью случайны.... вы можете опираться только на ИП адреса, опять же, по логу можно выцепить кучные запросы с определенных подсетей (как правило их заметно по количеству и принадлежности к одному ИП-блоку)... и заблокировать их в .htaccess.... это в любом случае не даст 100% результата, так как запросы будут приходить на веб сервер, однако ответить на каждый запрос выдавая реальную страницу используя десятки SQL запросов в базу... или отвечать сразу Forbidden это весьма разные (в порядках) ресурсы.....

Посмотрите на нормальные логи юзеров и поисковых ботов, если в логах к главной странице идет обращение всегда через index.php или html (как было в моем случае), то блокируйте на уровне nginx все обращения к "GET /" а не "GET /index.php"

на таком уровне у тс-а нету доступа - шаред хостинг и вообще блокировать так не хорошо, проще вообще тогда сайт отключить.

Что значит не реальные? Если бы был UDP-флуд или TCP SYN-флуд, возможна подстановка любого ip (спуффинг). Но в случае с HTTP-запросами нужно предварительно провести хендшейк c ip, с которого пришел первый пакет.

Защитой от ddos/dos на шаред, по идее, хостер должен заниматься.

И вообще считаю, что каждый уважающий себя хостер должен отсеивать паразитный трафик самостоятельно и, по-возможности, вообще не вовлекать клиента в это дело.

Тем более, судя по логам это очень примитивные боты и отсеивать их проще простого, странно, что "профессиональный хостинг" не справился.

Может Вы и правы насчет нешколодоса, если хостер совсем уж не справляется - у него выбора не остается.

Но относительно этой темы - был явный школодос, на который, видимо админы забили.

Я не удивлюсь, если spaceweb заблокирует кого-нибудь за какой-нибудь (GET|POST) /wp-login.php

С чего бы это? Если ддосять самого хостера - да, если какой то конкретный домен, то бесплатно защищают альтруисты

П.С. имею ввиду не школоддос