Досят сайт, что делать? Кажется прежний хостер...

Где ддос в приведенном в первом посте логе?

Там поисковые боты. Забаньте яхо и ьинг, хотябы в хтасессе по юзер агенту и полегчает.

Ну незнаю в основном китайские АЙПИ и подсети

Пример

Cloudflare

Studio-s01:
Ну незнаю в основном китайские АЙПИ и подсети

Пример

Get/post боты через прокси.

Нужно либо банить ручками, либо писать сркипт который это сделает за вас.

Или взять веб хостиг с защитой от подобного рода атак.

У меня в подписи есть веб хостинг с защитой.

http://habrahabr.ru/post/67685/

ТС, IMHO…

У вас нету никакого DDoS, и на хостера вы собак вешаете зря.

Судя по всему, старый хостер успешно отладил борьбу с паразитной нагрузкой, не пропуская мусорный трафик в клиентскую подсеть. Всё у них работало замечательно.

Тут вы срываетесь в свободное плавание, отказываясь от адекватной защиты, и начинаете своё хождение по граблям.

Вывод: когда ваш скилл дорастёт до админов бывшего хостера, нагрузка уменьшится примерно до тех же значений.

---------- Добавлено 02.02.2015 в 10:50 ----------

Dimazzan, можно ещё несколько параметров мониторить. Тот же netstat, в нём SYN_RCVD, _MAX_CONN. Так же в nginx, кроме часто выбивающих err 503, фиксируем тех, кто усердно бьёт в корень сайта и ещё какие-то симптоматичные места (логин, например). Всю эту кашу смешиваем, и по крону добавляем в табличку. У меня IPFW хорошо справляется, таблицы можно держать большими.

Так же по крону сделать "амнистирующий" скрипт, который вычёркивает самых старых нарушителей, тут гибко можно рулить.

Плюс к этому, сваять страничку на PHP, вручную заносящих и выкидывающих IP.

По этому вам и предлагают обратиться к специалистам..... ибо без них вы даже получив грамотные рекомендации на этом форуме ничего не сможете сделать...

Выложенный вами access.log, ничего страшного в себе не несет...

На 106.580 записей лога, всего 1774 уникальных ИП... даже если это китайский ботнет.... его можно забанить путем iptables в пару строк, объединив данные ИП адреса в несколько более менее приемлемых CIDR...

Однако если вы вообще не ожидаете визитов из Китая, то выше излагали верное мнение на тему блокировок на основании GEO...

Что бы было понятно о чем я говорю, вот кусочек вашего лога после микро анализа:

Первый столбик это количество записей в логе , второй столбик собственно ИП...

Все эти ИП адреса принадлежат одной сети 117.169.1.0/24 из блока 117.128.0.0/10....

Так что если автоматизировать просмотр лога и самые активные ИП посылать в iptables сразу, то через полчаса у вас будет в бане 2000-3000 ИП адресов активистов и на этом все закончится, при этом атакующая сторона понимая что все автоматизировано думаю успокоится...

Но не смотря на все это, рекомендую вам, обзавестись администратором, к которому можно обратиться в случае каких-то проблем, потому что "везде не успеешь".... Вы уже пару дней вопросы задаете, а админ бы решил вопрос за полчаса и тему создавать бы не пришлось....

🍿🍿🍿

Ну и конечно же для общего понимания можете почитать вот тут: https://onyx.net.ua/metodiki_borbi_s_atakami.php

А что за хостинг на котором у вас атаки не подскажете? Можно в личку. Чтобы на грабли не наступить.

Здравствуйте,

произведите настройку системы Вашего сервера установив различные службы, которые будут анализировать Ваш трафик, данные атаки просто фильтруется без каких либо проблем.

А если возникают трудности, используйте iptables.

Настройте кэширование nginx.

Одного этого может быть достаточно, чтобы справиться с такой нагрузкой.