昼前にサイト内検索の一部が反応しないとのレポート。動作チェックしてみると、検索を受け持つバックエンドサイトの一部が大量の検索クエリをかけられて反応が遅くなっている。
フロントエンドのログをチェックすると、単一のIPアドレスから検索クエリが大量にでている。妙なクエリ文字列を大量に、しかも有効なクエリを出しているためバックエンドが頑張って反応しているんだけど、いかんせんこんなDoSまがいのクエリには対処できない。

ということでフロントエンドApacheで該当IPアドレスからのリクエストをすべてDeny。Denyしてからはしばらく同じペースでリクエストを投げていましたが(当然403になるけど)、しばらくすると一切アクセスがこなくなった。
ゲンキンというか、あっさりしているというか。

改めてゆっくりログをチェックしていると、統計ページ(内部からのみ参照できる)の基本認証に執拗にトライしていたり、/etc/passwdを抜き出そうとトライしていたり、SQLコマンドをいれたクエリをpostしていたりいろんなことをやってくれている。
まぁ全部ムダなんだけどね。