Sim, fiz uma instalação padrão.
Meu primeiro pensamento foi simplesmente ser slashdotted, mas 24 horas depois ainda estou sendo atacado.
A solução temporária rápida foi fechar a porta da frente e definir o site como “login obrigatório”. O que funcionou, o uso da CPU caiu de 100% para 3% em 60 segundos.
Assim que eu abro a porta da frente novamente, minha página /search é instantaneamente bombardeada com lixo como:
/search?q=dogs+order:latest&page=2
/search?q=cats+order:latest&page=2
/search?q=fly+order:latest&page=2
etc.
Isso acontece em 60 segundos após reabrir o site.
Somos um pequeno grupo de nicho, não sei por que alguém nos atacaria com qualquer coisa 
É apenas uma estimativa, mas de acordo com o Google Analytics, normalmente temos de 8 a 10 usuários ativos e isso dispara para mais de 1.000 em segundos após eu reabrir o site ao público novamente. Todas as conexões mostram como vindas de várias partes dos EUA, todas diretas, sem referenciadores.
Vou deixar o site fechado apenas para membros por alguns dias e ver se isso desaparece, ou ver se consigo limitar o /search apenas para usuários logados e, se não, provavelmente terei que seguir o caminho do cloudflare.
Obrigado a todos 