Bonjour,
 
Ma boite possède un serveur dédié chez Sivit pour rien vous cacher et depuis qu'on a "ouvert" un nouveau site dessus assez conséquent mais pas trop (1000 visites par jour env), j'ai de gros ennuis.
Apache grossit et fini par planter la machine entière (elle n'est pas plantée mais ne répond plus à rien sauf au ping) en saturant les 512 Mo de RAM. Ce qui est curieux, c'est que ça peut aller très très vite à raison de 30 Mo/s environ et j'ai intérêt à stopper Apache avant de saturer les 512 Mo sinon c'est dead. Et du coup, une fois Apache down, je récupère 350 Mo de RAM...
Après avoir matté le log d'accès d'Apache qui fait rien que pour aujourd'hui 8 Mo (!), je me demande si je ne suis pas la cible de flood ou bot ou que sais-je... Des IP zarbs de sites anglais, russes... qui scan toutes les secondes ou presque quelques fichiers et images du site.
Bref, il faut que je trouve très rapidement une solution sachant que ce site était auparavant sur un serv mutualité chez Amen (de l'ultra classique donc) et marchait très bien. Donc le serveur dédié est largement capable de le faire tourner. Il y juste eu redirection de DNS.
 
J'ai essayé quelques filtres IPTables sans succès, et je ne sais plus trop quoi faire...
Toute suggestion est la bienvenue, c'est assez urgent, merci.

Je passe plutôt dans la cat linux !

C'est la dernière version de Apache ?

Apache/2.0.54 (Debian GNU/Linux) PHP/5.0.5-Debian-0.8~sarge1

Peut être que le problème de fuite de mémoire provient du PHP5. Chez ton ancien hébergeur, c'était la version 5 de PHP d'utilisée ?
Si tu n'as pas besoin de PHP5, remet la version 4.

J'ai besoin de PHP5, et effectivement c'était surement du PHP4 sur Amen.
C'est un site SPIP (www.spip.net), c'est donc pas du code développé par nos soins, il y aurait une fuite de mémoire en PHP5 sur SPIP, ya longtemps qu'on en aurait entendu parler je pense !
Le plus "drôle", c'est que là j'ai le monitor sous les yeux : Je passe sans crier garre de 250 Mo used / 250 Mo free à 480/20 ! En 10 secondes grand max ! Je viens de le laisser comme ça près à killer Apache avant que plus rien ne répondre, et je viens de repasser à 280/211.
 
C'est mystique ou quoi ?

 
Je ne sais pas si ca vaut quelques chose et si t'as un droit de regard las-dessus. Est-ce que ton serveur, tu peux le pinger ? si oui, il est trés facile pour un marmoulin d'envoyer des quantités de données par le ping et pour peut qu'il mette une boucle infini, ca te "détruit" le serveur et accessoirement la machine ! Donc si tu peux renvoyer des time Out au ping extérieur, fais le, tu éviteras ce genre de déboire à mon sens....  
 
 
@+

Ya rien de spécial dans les logs d'Apache à ce moment là ?

si
 
Ca sent le bon hack avec awstats :
 

vérifie qu'il ne soit pas rooté

Cad ?
 
Ya un truk qui m'échappe aussi : D'après le log, il exploite awstats.pl mais tout accès à awstats.pl est protégé par .htaccess + .htpasswd. Donc à moins que le pirate ait réussit à obtenir le log / pass (me demande bien comment), je vois pas trop comment il peut utiliser awstats.pl pour générer du traffic...

fait une recherche de rootkit sur ton serveur
http://www.chkrootkit.org/
 
ton hack (awstats.pl) tu l'as retrouvé dans quel log ? access.log ou error.log ?

C'est le technicien Sivit qui m'a balancé la ligne du log... et j'ai beau chercher dans le access et error log du 9/1, je ne trouve pas la ligne en question
 
Bref, je suppose qu'il l'a bel et bien trouvé... Je suis en train de checker la maj de awstats en 6.5 (j'ai la 6.4).