お世話になります。
下記事項につきまして、解決策のご教示をお願いできますと幸いに存じ上げます。
時期は不明ですが、サーバがたまに短時間ダウンする状態となり、アクセスログを確認したところ
下記のようなアクセスを、同時刻に数回~数十回繰り返しアクセスされていました。
例:
37.251.155.50 - - [14/Mar/2019:04:47:25 +0900] "GET
/media/2015/11/09/wjm.php?p=サイトドメイン_479.html'\x22 HTTP/1.1" 403 2843 "-" "-"
(現在は、海外IP拒否htaccess / wjm.phpの削除をしているため、上記例のステータスは403となっています。)
1つのサーバをマルチドメインで4サイト運用しておりましたので、全てのサイトに同内容のアクセスがあり、該当ファイル(wjm.php)及び明らかに怪しいファイル(ユニーク文字列.pdfのようなファイル名)については削除しました。
しかしながら、その後も依然として集中アクセスは続いており、Web情報を参考に海外IPからのアクセス拒否設定をhtaccessファイルで行い、更に、それぞれのサイトをそれぞれ別々のサーバに振り分けました。
また、上記対策後にアクセスログを再確認したところ、ステータス403を返すIPもあるのですが、依然下記のような200で集中アクセスをしてくるところもあります。
例:
59.135.87.49
160.13.94.8
など
上記IPなどは依然一秒間に数十アクセスされています。
また、アクセス先は、wjm.php や 不明なファイルではなく、画像ファイルやフォントファイル、スタイルファイル等、サイト表示に使用するファイルにもアクセスされている状況です。
何卒ご査収賜りますよう、よろしくお願い申し上げます。