Eu tenho um ataque de hack e todas as minhas instâncias do Wordpress foram modificadas. Agora parece que eu consertei tudo e todos os meus "backdoor-shells" e instâncias do Wordpress estão de volta em segurança (espero).
Outro problema é que o hacker criou vários arquivos e blogs (subdiretórios) e enviou o sitemap para o google e outros mecanismos de busca.
Também consertei os sitemaps, mas agora recebo muitos pedidos de spambots que solicitam todos os domínios no servidor (cerca de 100) com solicitações diferentes.
Pelo menos todas as solicitações parecem quase iguais (status do servidor do Apache)
GET /sleep-19899-178.html HTTP/1.1
GET /comments/feed/sport-3736-107.html HTTP/1.1
GET /comments/feed/sport-2416-155.html HTTP/1.1
GET /comments/feed/sport-1962-134.html HTTP/1.1
GET /?attachment_id=30 HTTP/1.0 <-- this is called very often with exploits
GET /?attachment_id=30&bla=../../../wp-config.php ... and so on HTTP/1.0
E, claro, TONELADAS de solicitações wp-signup e wp-login (Wordpress).
Todos os meus sites enviando um 404, que normalmente é mesmo para spambots, um sinal de que eles deveriam parar de solicitar essa página, mas eles ainda estão fazendo isso.
Existe alguma maneira de impedir que esses bots enviem solicitações? Existe uma maneira de adicioná-los ao fail2ban ou cair pelo iptables assim que eles solicitarem um URL com a sintaxe acima?