В общем ситуация такая. Обнаружил в файле auth.log - попытка авторизации методом перебора логинов и паролей.
Сайт работает через DDOS-Guard. Реальный IP соответственно знают DDOS-Guard и Cinemapress.
Вопрос это случайность или утечка?
И что с этим делать?