Eu tenho um VPS com o Ubuntu. Eu hospedo um site pequeno (~ 10 visitantes ao mesmo tempo). Às vezes o site começa atrasado. É tão ruim que minha conexão SSH começa atrasada também. A execução de top indica que 2 instâncias de apache2 ocupam 50% de CPU cada.
Eu assumo que este é um ataque DoS . Eu copiei e colaste alguns scripts iptables que faziam sentido, mas isso não ajudou.
Eu instalei libapache2-mod-evasive - tenho certeza que bloqueia o invasor, mas ainda estou atrasada.
O que posso fazer? Posso pelo menos encontrar o IP do atacante?
Eu tenho uma strong experiência com o Linux, mas quase zero experiência em ser um administrador de servidores.
Verifique o log de acesso do Apache para tentativas repetidas por um endereço IP semelhante, /var/log/httpd/access_log é o local habitual.
Você também pode estar interessado em uma solução automatizada, como Deflate de DDoS ou PSAD . Eu também recomendo strongmente o mod_security para o próprio Apache.
Você endureceu o Apache ou o seu SO?
Você consegue postar algum registro?
Isso pode ajudar um pouco.
Eu não posso sugerir o suficiente Fail2ban. É um daemon que é executado em segundo plano e monitora todos os seus arquivos de log em busca de atividades suspeitas e bloqueia a atividade suspeita com base nos erros do arquivo de log. Isso significa que você deve criar os arquivos de log de erros em primeiro lugar, para os servidores da Web, você geralmente pode fazer isso. Eu fiz isso para o NGINX recentemente, mas tenho certeza que há uma diretiva similar para o Apache.