Editar esta página Enlaces a esta página Exportar a PDF Has cargado una revisión vieja del documento! Si la guardas crearás una versión nueva con estos datos. Archivos Multimedia Comprobamos que no haya ningún cron corriendo: crontab -l Comprobamos que no sea ninguna query lenta: mysql -uadmin -p`cat /etc/psa/.psa.shadow` show proccesslist; show full processlist; Comprobamos las conexiones: netstat -putan Comprobamos numero de accesos por IP en los logs de apache de cada dominio: awk '{print $1}' /var/www/vhosts/*/logs/access_log | sort | uniq -c | sort -n Si encontramos algún patrón de IP pero desconocemos sobre que dominio se está acometiendo el ataque comprobamos con server-status: Reinicamos apache: systemctl restart httpd.service Vamos a un navegador: [[http://86.109.107.216/server-status]] Una vez tengamos el dominio, buscamos el log correspondiente filtrando por la IP sospechosa: grep "dd/Mmm/aaaa:hh:mm" /var/www/vhosts/dominio.tld/logs/error_log | grep IP.IP.IP.IP | ccza -A Si estamos seguros de que se trata de un atacante o un bot maligno, bloqueamos en el firewall Herramienta para ir monitorizando los procesos y recursos: htop Send linkbacks for external links Guardar Previsualización Cancelar Resumen de la edición Nota: Al editar esta página, estás de acuerdo en autorizar su contenido bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International