Comprobamos que no haya ningún cron corriendo:

crontab -l

Comprobamos que no sea ninguna query lenta:

mysql -uadmin -p`cat /etc/psa/.psa.shadow`
show proccesslist;
show full processlist;

Comprobamos las conexiones:

netstat -putan

Comprobamos numero de accesos por IP en los logs de apache de cada dominio:

awk '{print $1}' /var/www/vhosts/*/logs/access_log | sort | uniq -c | sort -n

Comprobamos el número de IP distintas que acceden al servidor:

cat access_log.processed | cut -d " " -f 1 | sort | uniq | wc -l

Si encontramos algún patrón de IP pero desconocemos sobre que dominio se está acometiendo el ataque comprobamos con server-status: Reinicamos apache:

systemctl restart httpd.service

Vamos a un navegador: http://86.109.107.216/server-status

Una vez tengamos el dominio, buscamos el log correspondiente filtrando por la IP sospechosa:

grep "dd/Mmm/aaaa:hh:mm" /var/www/vhosts/dominio.tld/logs/error_log | grep IP.IP.IP.IP | ccza -A

Si estamos seguros de que se trata de un atacante o un bot maligno, bloqueamos en el firewall

Herramienta para ir monitorizando los procesos y recursos:

htop