Détecter une attaque par déni de service

[BenjaminN]

Salut à tous,
Je m'occupe actuellement du serveur d'un site (tournant sous WordPress) qui reçoit en moyenne 5000 visiteurs unique par jour.

On constate depuis plusieurs semaines que les temps de réponses sont plus importants. Parfois, le serveur est tellement lent qu'on ne reçoit même plus de réponse de sa part.

J'ai suspecté un déni de service. Après une connexion difficile par SSH au serveur, j'ai lancé un top. Il m'affichait une cinquantaine de apache2. Apache2 dans ses logs d'erreurs affiche pleins de "[error] child process 3100 still did not exit, sending a SIGKILL". Quant aux logs de MySQL j'ai pleins de:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
110707 10:42:44 [Note] Recovering after a crash using /home/log_mysql/mysql-bin
110707 10:42:44 [Note] Starting crash recovery...
110707 10:42:44 [Note] Crash recovery finished.

N'étant pas un pro de l'attaque DoS je voulais savoir si ça y ressemblait et si oui comment je pouvais m'en prémunir.

Merci d'avance pour vos réponses!

[BenjaminN]

J'ai oublié de préciser que j'en avais profité pour faire un netstat -tn et que j'obtenais quelque chose comme 350 lignes avec pas mal de SYN_RECV, des IP venant de Chine, de Russie...