Muchas carga de http en vps

Hola..
Quisiera compartir con uds esta duda que tengo..

El dia de hoy registre una gran sobre carga en el consumo de CPU de unos de los vps que manejo.. Llego hasta 80% de consumo de cpu y toda registrada por apache y un 5 o 6% del mysql.
Lo registro en un dominio en especificio que registra hasta 57.83 de consumo de ram y 23%cd cpu y no ha bajado.
Ejecuto este comando
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Para revisar si se trataba de algun ataque de denegacion de servicio pero me encuentro con este resultado:
3 200.118.32.150
4 200.118.90.205
4 201.232.242.99
5 190.156.170.229
5 190.24.25.53
5 69.79.141.18
7 186.28.216.145
7 200.118.171.177
8 190.26.1.38
9 190.29.180.195
9 200.119.40.199
11 190.156.164.13
11 190.24.33.134
12 190.26.67.116
17 190.158.62.234
20 190.27.41.153
280 xxx.xxx.xxx.xxx. ESTA IP la tengo asignada a audio streaming..pero esta en el mismo VPS

Es decir que esta haciendo 280 conexiones consigo mismo?
Logre estabilizar el consumo de cpu pero aun asi sigue bastante alto, me registra picos de 20%..

Parte del TOP es este:

CODE, HTML o PHP Insertado:

top - 20:18:32 up 20 days, 21:00,  2 users,  load average: 26.62, 18.66, 14.4
Tasks: 143 total,  14 running, 128 sleeping,   0 stopped,   1 zombie
Cpu(s): 76.3%us, 12.3%sy,  0.0%ni, 11.4%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%s
Mem:   2097152k total,  1183120k used,   914032k free,        0k buffers
Swap:        0k total,        0k used,        0k free,        0k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND         
28492 nobody    16   0  164m  30m 5344 R  9.4  1.5   0:05.81 httpd           
 1825 nobody    16   0  157m  23m 4668 S  9.1  1.2   0:01.33 httpd           
 3464 nobody    17   0  164m  30m 4980 R  8.4  1.5   0:02.17 httpd           
 5530 nobody    16   0  159m  24m 4492 R  8.1  1.2   0:00.26 httpd           
 5520 nobody    15   0  159m  24m 4652 R  7.5  1.2   0:00.34 httpd           
 3260 nobody    15   0  165m  31m 4904 S  6.5  1.5   0:01.61 httpd           
 5542 nobody    16   0  159m  24m 4492 S  6.5  1.2   0:00.20 httpd           
26585 nobody    16   0  164m  30m 5352 S  6.5  1.5   0:05.31 httpd           
 5275 nobody    15   0  159m  24m 4668 R  6.2  1.2   0:00.58 httpd           
 3250 nobody    15   0  157m  23m 4652 S  5.2  1.2   0:00.69 httpd           
 3465 nobody    17   0  164m  30m 5228 S  4.5  1.5   0:01.74 httpd           
 5546 nobody    16   0  157m  22m 4240 R  4.5  1.1   0:00.14 httpd           
 5501 nobody    15   0  159m  24m 4652 S  3.6  1.2   0:00.21 httpd           
 5138 nobody    15   0  162m  28m 4908 S  2.6  1.4   0:01.55 httpd           
 5226 nobody    15   0  159m  24m 4652 S  2.6  1.2   0:01.37 httpd           
15746 mysql     15   0  308m  58m 5740 S  2.3  2.8 106:29.40 mysqld          
32737 nobody    18   0  162m  27m 4880 S  1.6  1.4   0:03.12 httpd           
 5568 nobody    19   0  152m  16m 3500 R  1.0  0.8   0:00.03 httpd           
22198 root      21   0  150m  16m 5308 S  0.6  0.8   0:07.96 httpd           
 3078 nobody    15   0  165m  31m 4976 S  0.3  1.5   0:01.36 httpd           
 3253 nobody    15   0  159m  24m 4664 S  0.3  1.2   0:00.31 httpd           
 3306 nobody    15   0  158m  23m 4656 S  0.3  1.2   0:00.84 httpd           
23640 sc_demo   15   0 36572 2416  884 S  0.3  0.1 780:15.08 sc_serv         
23647 sc_demo2  15   0 36568 2044  568 S  0.3  0.1 773:40.40 sc_serv         
32147 root      15   0 12740 1328  932 R  0.3  0.1   0:00.74 top             
    1 root      18   0 10348  744  624 S  0.0  0.0   1:12.00 init            
 1433 nobody    15   0  150m  12m 1352 S  0.0  0.6   0:00.00 httpd           
 1634 named     19   0  267m 8896 2044 S  0.0  0.4   1:50.58 named           
 1672 root      15   0  113m  47m 2364 S  0.0  2.3   0:42.49 spamd           
 1757 nobody    15   0  158m  23m 4656 S  0.0  1.2   0:00.34 httpd           
 1767 nobody    15   0  158m  24m 5152 R  0.0  1.2   0:01.93 httpd           
 1851 nobody    15   0  162m  28m 5224 S  0.0  1.4   0:02.71 httpd           
 1873 nobody    15   0  162m  28m 5220 S  0.0  1.4   0:03.45 httpd           
 3079 nobody    15   0  159m  24m 4656 S  0.0  1.2   0:01.65 httpd 

Que opinion tienen.

De antemano gracias por sus respuestas
Hieluki

 

Primero que nada te recomendaria leer el access_log y el error_log para ver que te dicen ...

si esos procesos de apache estan haciendo algo es alli donde veras que es lo que hacen...

postea algo de esos logs y veremos que dicen alli para poder ayudarte.

en un post que hice recientemente explique que no se necesitan muchas conexiones tcp para realizar un ataque efectivo contra sitios cuyo webserver es apache y el lenguage de programacion php.. pero en fin no se si sea el caso.. primero que nada hay que ver los logs que nos dicen.

 

Nada.. Son de lo mas normal. el acces.log tiene solo 200OK y el error.log me mostraba un errorcito de una pagina de un llamado a un script que ya no existia, pero pues nada fuera de lo normal..}

en este momento tengo:
load average: 32.65, 36.79, 30.5

Se subio bastante, no tengo idea que pueda ser..Solo procesos de apache lo estan consumiendo.

 

mmm veamos

si usas cpanel chequea en donde dice apache status lo que te dice y pega el log que te muestra.

tambien postea lo que te dice el comando ipcs -m ( en la shell )

tambien coloca un fragmento de 10 segundos de este comando

tcpdump -v tcp port 80

Saludos