OVH Community, votre nouvel espace communautaire.

Charge de 100% pendant 2 heures - Hack?


manulecomte
25/03/2012, 12h33
Salut Christo,

j'ai exactement le même prob que toi, sur config identique (sauf que moi vps2).
As-tu finalement trouvé la raison et une solution au problème?
Ca fait une semaine que mon serveur plante chaque jour :-(
Merci

Manu

christo128
21/02/2012, 00h02
Feb 16 10:10:07 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPACK from 178.33.247.231

Que vient foutre du DHCP ici? Vos VPS sont en DHCP, je ne connait pas la stratégie mais a mon avis c'est de la statique pour que vous soyez Routable et facilement accéssible.
En fait je n'ai rien touché au réglage du VPS. Donc les réglages sont ceux par défaut de Gentoo release2. C'est une connexion réussi DHCP mais pourquoi cette connexion ?

Vous avez un Serveur DNS qui tournes sur le VPS? Ou c'est de la résolution du VPS vers ses DNS?
Je fait pointer DNs primaire et dns secondaire de mon NDD vers mon VPS. Et quand on ajoute un domaine, des Zones DNS se créer dans Serveur de noms de domaines BIND.

De ce coté la, des erreurs d'écriture-lecture des dichiers (Permissions?)

Donc, il nous fait des Kill/SPawn de process de l'antispam :
Cela me semble normale qu'il empêche le Spam.


Autrement sans rien qui pointe vers le VPS voila le syslog :

Code HTML:
Feb 20 23:40:01 vps11639 cron[16486]: (root) CMD (/home/vpopmail/bin/clearopensmtp 2>&1 > /dev/null)
Feb 20 23:40:01 vps11639 cron[16487]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 20 23:41:01 vps11639 cron[16546]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 20 23:42:01 vps11639 cron[16594]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 20 23:50:01 vps11639 cron[17026]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 21 07:00:01 vps11639 cron[10235]: (root) CMD (rm -f /var/spool/cron/lastrun/cron.hourly)
Tout ceci semble également normale?

Aussi le serveur SMTP est régulièrement arrêté. Du coup plus de mail.

Et je me demande si c'est pas SEF404 pour joomla qui fait planter le serveur. Je dit ça parce que je l'ai mis il y a un peu plus d'un mois et aujourd'hui mon NDD qui renvois vers mon mutualisé renvois ver Webmail.ovh.net.

spykeer
17/02/2012, 01h50
Dans le syslog >

Code:
Feb 16 10:10:07 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPACK from 178.33.247.231
Que vient foutre du DHCP ici? Vos VPS sont en DHCP, je ne connait pas la stratégie mais a mon avis c'est de la statique pour que vous soyez Routable et facilement accéssible.

Code:
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving './NS/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns1.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns3.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns4.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns1.msft.net/AAAA/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns3.msft.net/AAAA/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns4.msft.net/AAAA/IN': 2001:7fd::1#53
Vous avez un Serveur DNS qui tournes sur le VPS? Ou c'est de la résolution du VPS vers ses DNS?

Code:
Feb 16 08:00:32 vps11639 spamd[5186]: prefork: sysread(7) failed after 300 secs at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 654.
Feb 16 08:08:36 vps11639 spamd[5186]: prefork: empty order from parent at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 596.
Feb 16 08:23:20 vps11639 spamd[5185]: prefork: write of ping failed to 5186 fd=6: Broken pipe at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 413.
Feb 16 08:27:56 vps11639 spamd[5185]: prefork: killing failed child 5186 fd=6 at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 172.
Feb 16 08:31:16 vps11639 spamd[5187]: prefork: sysread(8) failed after 300 secs at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 654.
De ce coté la, des erreurs d'écriture-lecture des dichiers (Permissions?)

Donc, il nous fait des Kill/SPawn de process de l'antispam :

Code:
Feb 16 09:45:02 vps11639 spamd[5185]: spamd: handled cleanup of child pid [5187] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 09:56:11 vps11639 spamd[5185]: spamd: handled cleanup of child pid [1255] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 10:03:25 vps11639 spamd[5185]: prefork: child states: II
Feb 16 10:25:24 vps11639 spamd[5185]: spamd: server successfully spawned child process, pid 2086
Feb 16 11:07:40 vps11639 spamd[5185]: spamd: server successfully spawned child process, pid 2405
Feb 16 11:19:36 vps11639 spamd[5185]: spamd: handled cleanup of child pid [2086] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 11:27:06 vps11639 spamd[5185]: spamd: handled cleanup of child pid [2405] due to SIGCHLD: KILLED, signal 9 (0009)
Pour PMA, je ne l'ai pas encore réglé donc je ne peux pas te dire

Si munin, t'as posé problème je te conseilles htop. Mais, ce n'est pas trés "Prod" de changer la structure de la Release 2.

christo128
16/02/2012, 16h11
Autrement dans phpMyAdmin, j'ai plusieurs valeurs en rouge:

Handler_read_rnd 26k
Handler_read_rnd_next 77k
Created_tmp_disk_tables 410
Select_full_join 238
Select_range_check 248
Opened_tables 397
Table_locks_waited 5

Est ce que cela peut entraîner une boucle sans fin?

Mon serveur vp1 plante:
PHP 5.2.13-pl1-gentoo
Mysql 3.3.5.1

Alors que mon mutualisé fonctionne:
PHP 5.2.17
Mysql 3.4.10

Dessus j'ai un joomla 1.7 (+ community builder +sef404+...).

Merci de m'éclairer

Sinon je n'ai pas réussi à installer Munin avec Putty. Donc avez-vous d'autres solution pour tracer les processus compatible avec Gentoo release 2.

christo128
16/02/2012, 13h34
mail.log :

Code HTML:
Feb 16 08:00:32 vps11639 spamd[5186]: prefork: sysread(7) failed after 300 secs at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 654.
Feb 16 08:08:36 vps11639 spamd[5186]: prefork: empty order from parent at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 596.
Feb 16 08:23:20 vps11639 spamd[5185]: prefork: write of ping failed to 5186 fd=6: Broken pipe at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 413.
Feb 16 08:27:56 vps11639 spamd[5185]: prefork: killing failed child 5186 fd=6 at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 172.
Feb 16 08:31:16 vps11639 spamd[5187]: prefork: sysread(8) failed after 300 secs at /usr/lib64/perl5/site_perl/5.8.8/Mail/SpamAssassin/SpamdForkScaling.pm line 654.
Feb 16 08:38:25 vps11639 spamd[5185]: spamd: handled cleanup of child pid [5186] due to SIGCHLD: interrupted, signal 2 (0002)
Feb 16 08:51:29 vps11639 spamd[5185]: prefork: killed child 5186
Feb 16 09:06:42 vps11639 spamd[5185]: spamd: server successfully spawned child process, pid 1255
Feb 16 09:20:58 vps11639 spamd[5185]: prefork: child states: SI
Feb 16 09:45:02 vps11639 spamd[5185]: spamd: handled cleanup of child pid [5187] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 09:56:11 vps11639 spamd[5185]: spamd: handled cleanup of child pid [1255] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 10:03:25 vps11639 spamd[5185]: prefork: child states: II
Feb 16 10:25:24 vps11639 spamd[5185]: spamd: server successfully spawned child process, pid 2086
Feb 16 11:07:40 vps11639 spamd[5185]: spamd: server successfully spawned child process, pid 2405
Feb 16 11:19:36 vps11639 spamd[5185]: spamd: handled cleanup of child pid [2086] due to SIGCHLD: KILLED, signal 9 (0009)
Feb 16 11:27:06 vps11639 spamd[5185]: spamd: handled cleanup of child pid [2405] due to SIGCHLD: KILLED, signal 9 (0009)

christo128
16/02/2012, 13h22
Voici syslog vers le début de la monté de charge :

Code HTML:
Feb 16 03:53:01 vps11639 cron[23257]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving './NS/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns1.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns3.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns4.msft.net/A/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns1.msft.net/AAAA/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns3.msft.net/AAAA/IN': 2001:7fd::1#53
Feb 16 03:53:03 vps11639 named[4757]: error (network unreachable) resolving 'ns4.msft.net/AAAA/IN': 2001:7fd::1#53
Feb 16 03:54:01 vps11639 cron[23307]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 03:55:01 vps11639 cron[23355]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)


Feb 16 05:27:17 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:28:04 vps11639 cron[29083]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:28:08 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:28:34 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:29:05 vps11639 cron[29244]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:29:27 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:30:07 vps11639 cron[29307]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:30:07 vps11639 cron[29306]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 16 05:31:08 vps11639 cron[29325]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:31:13 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:32:11 vps11639 cron[29393]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:33:10 vps11639 cron[29454]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:34:05 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:34:14 vps11639 cron[29492]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:34:34 vps11639 syslog-ng[4255]: Log statistics; processed='center(queued)=26542', processed='center(received)=6316', processed='destination(mailinfo)=10', processed='destination(messages)=4981', processed='destination(mailwarn)=0', processed='destination(console_all)=5139', processed='destination(authlog)=135', processed='destination(mailerr)=0', processed='destination(user)=0', processed='destination(daemon)=902', processed='destination(cron)=4081', processed='destination(kern)=1177', processed='destination(mail)=10', processed='destination(debug)=4994', processed='destination(syslog)=5113', processed='destination(console)=0', processed='source(src)=5139', processed='source(kernsrc)=1177'
Feb 16 05:35:22 vps11639 cron[29575]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:36:25 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 05:36:53 vps11639 cron[29601]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 05:37:10 vps11639 cron[29613]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)



Feb 16 10:03:20 vps11639 sshd[1758]: Did not receive identification string from 115.248.49.197
Feb 16 10:07:01 vps11639 cron[1951]: (root) CMD (rm -f /var/spool/cron/lastrun/cron.hourly)
Feb 16 10:09:00 vps11639 cron[1963]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 10:10:07 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb 16 10:10:08 vps11639 dhclient: DHCPACK from 178.33.247.231
Feb 16 10:11:30 vps11639 cron[1983]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 10:11:15 vps11639 sshd[1744]: Did not receive identification string from 115.248.49.197
Feb 16 10:11:56 vps11639 sshd[1858]: Did not receive identification string from 115.248.49.197
Feb 16 10:13:10 vps11639 sshd[1837]: Did not receive identification string from 115.248.49.197
Feb 16 10:13:10 vps11639 sshd[1926]: Did not receive identification string from 115.248.49.197
Feb 16 10:15:08 vps11639 sshd[1942]: Did not receive identification string from 115.248.49.197
Feb 16 10:15:56 vps11639 collectd[4993]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 16 10:18:47 vps11639 cron[2046]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 10:19:17 vps11639 cron[2052]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 16 10:20:10 vps11639 cron[2064]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)

christo128
16/02/2012, 13h14
Merci pour votre aide.

@ SAP Team - Loup:

Effectivement je trouve étrange qu'un domaine essaye de se connecter toutes les 30 sec à un serveur. sachant qu'il ne reçoit que très peu de visiteurs.

Comment suivre la charge CPU ?

A noter que j'ai réinstaller Gentoo release 2. Et idem au bout de 2 jours, une charge de 80% qui fait stopper le serveur au bout de 6 heures.
Pourtant je n'ai copier que le ftp, la database et créer un user database.

spykeer
15/02/2012, 08h11
Les bot's laissent une signature en général, je penses.
En tout cas, je doute que c'est du BOT, les IP's sont presque similaires.
On vois très peu de choses, de toute façon

vaporisator
15/02/2012, 08h07
Ca peut pas être du crawling de bot ?

spykeer
13/02/2012, 21h25
Essayes Munin aussi Sa pourras donner de bons graphs ainsi que des alertes!

christo128
13/02/2012, 13h41
Alors je ne sais toujours pas si le pic de charge est lié à ces tentatives de connexion ni comment les arrêter. Et je trouve étrange que ce nom de domaine essaye de connecter sur mon VPS alors qu'il renvoit bien vers son serveur d'origine. Et pourquoi essaye t-il de connecter toutes les 30 seconde en moyenne.

christo128
12/02/2012, 21h20
Pour la dernière question, il semble que l'autre-site est un domaine qui renvoie vers mon serveur.
Pourtant ce domaine n'est pas référencé donc je ne comprend pas pourquoi il demande un accès toute les 30 Sec.
Je viens de changer les DNS du domaine.

christo128
12/02/2012, 17h13
Bonjour,

Ce matin mon VPS 1 - gentoo release 2 installé depuis 1 semaine n'était plus accessible. Normal 100% > 2Heures.

Auth.log:

Code:
Feb  8 00:26:02 stock sshd[19964]: Invalid user franchesca from 115.112.230.21
Feb  8 00:26:12 stock sshd[19967]: reverse mapping checking getaddrinfo for 115.112.230.21.static-mumbai.vsnl.net.in [115.112.230.21] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb  8 00:26:12 stock sshd[19967]: Invalid user francine from 115.112.230.21
Feb  8 17:30:41 stock sshd[18747]: Did not receive identification string from 216.144.250.115
Feb  9 02:58:14 stock proftpd[21246]: 127.0.0.1 (::ffff:85.176.151.231[::ffff:85.176.151.231]) - USER anonymous: no such user found from ::ffff:85.176.151.231 [::ffff:85.176.151.231] to ::ffff:46.105.5.147:21
Feb  9 02:58:14 stock proftpd: pam_unix(ftp:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd21246 ruser=ftp rhost=::ffff:85.176.151.231  user=ftp
Feb  9 02:58:16 stock proftpd[21246]: 127.0.0.1 (::ffff:85.176.151.231[::ffff:85.176.151.231]) - USER ftp (Login failed): Incorrect password.
La on voit que quelqu'un essaie de trouver les loggins (francine et bien d'autres).


Daemon.log

plusieurs type d'error (environ 4 par heures):
Tel que :
Code HTML:
stock named[14361]: error (network unreachable) resolving '191.125.242.173.in-addr.arpa/PTR/IN':

stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!

Feb 11 14:41:59 stock named[12015]: lame server resolving '22.209.24.195.in-addr.arpa' (in '209.24.195.in-addr.arpa'?): 195.24.192.33#53
Mais la je pense que c'est pas grave.

Code HTML:
Feb  8 02:42:42 stock dhclient: DHCPREQUEST on eth0 to 178.33.247.231 port 67
Feb  8 02:42:42 stock dhclient: DHCPACK from 178.33.247.231
Feb  8 02:42:42 stock dhclient: bound to 46.105.5.147 -- renewal in 36742 seconds.

Feb  8 23:00:15 stock proftpd[6780]: 127.0.0.1 (::ffff:88.208.246.146[::ffff:88.208.246.146]) - FTP session opened.
Feb  8 23:00:15 stock proftpd[6780]: 127.0.0.1 (::ffff:88.208.246.146[::ffff:88.208.246.146]) - FTP session closed.
Là plus étrange.

Syslog.log :

Code HTML:
Feb  8 00:24:02 stock sshd[19595]: Invalid user emory from 115.112.230.21
Feb  8 00:24:03 stock sshd[19640]: reverse mapping checking getaddrinfo for 115.112.230.21.static-mumbai.vsnl.net.in [115.112.230.21] failed - POSSIBLE BREAK-IN ATTEMPT!
Feb  8 00:24:03 stock sshd[19640]: Invalid user emy from 115.112.230.21
Feb  8 00:24:04 stock sshd[19642]: reverse mapping checking getaddrinfo for 115.112.230.21.static-mumbai.vsnl.net.in 

Feb  8 17:30:41 stock sshd[18747]: Did not receive identification string from 216.144.250.115

Feb 10 05:03:01 stock cron[20700]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 10 05:03:17 stock named[12015]: client 66.249.72.184#49316: query (cache) 'www.autre-site.com/A/IN' denied
Feb 10 05:03:51 stock named[12015]: client 66.249.72.83#63287: query (cache) 'www.autre-site.com/A/IN' denied
Au moment de pleine charge CPU il y avait en gros ceci :

Code HTML:
Feb 12 10:39:14 stock named[12015]: client 66.249.72.139#64127: query (cache) 'www.autre-site.com/A/IN' denied
Feb 12 10:40:01 stock cron[23556]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 12 10:40:01 stock cron[23557]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 12 10:40:01 stock cron[23558]: (root) CMD (/home/vpopmail/bin/clearopensmtp 2>&1 > /dev/null)

Feb 12 11:00:08 stock cron[24823]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 12 11:00:08 stock cron[24822]: (root) CMD (rm -f /var/spool/cron/lastrun/cron.hourly)
Feb 12 11:00:08 stock cron[24824]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 12 11:00:23 stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 12 11:00:40 stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 12 11:00:44 stock named[12015]: client 66.249.72.239#37725: query (cache) 'www.autre-site.com/A/IN' denied
Feb 12 11:01:05 stock cron[24967]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 12 11:01:06 stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 12 11:01:21 stock named[12015]: client 66.249.72.8#41301: query (cache) 'www.centre-aide.com/A/IN' denied
Feb 12 11:01:23 stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 12 11:01:40 stock collectd[5290]: No sleeping because `timeval_sub_timespec' returned non-zero!
Feb 12 10:18:03 stock named[12015]: client 66.249.72.12#37540: query (cache) 'www.autre-site.com/A/IN' denied
Feb 12 10:18:14 stock named[12015]: client 66.249.72.57#35374: query (cache) 'www.autre-site.com/A/IN' denied
Feb 12 10:19:01 stock cron[22419]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 12 10:19:10 stock named[12015]: client 66.249.72.242#53960: query (cache) 'www.autre-site.com/A/IN' denied
Feb 12 10:20:01 stock cron[22468]: (root) CMD (/usr/local/rtm/bin/rtm 12 > /dev/null 2> /dev/null)
Feb 12 10:20:01 stock cron[22469]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
Feb 12 10:20:17 stock named[12015]: client 66.249.72.20#42889: query (cache) 'www.autre-site.com/A/IN' denied
Comment cela se fait que tout les 30 secondes une connexion se fait avec mon autre site (héberger sur un autre serveur) alors que je n'ai que 20 visiteurs/jours de ce site référent ?

Voyez vous une commande qui peut expliquer une charge de 90% pendant 2 heures ?

Je n'ai pas l'impression que les tentatives de hack ont abouties. Malgré quelques connexions ftp de quelque secondes étrange. Comment en être sur? Comment stopper ces tentatives ?

Autrement beaucoup de connexion venant d'un autre de mes sites se terminent comme ça :

Code HTML:
Feb 12 11:01:48 stock named[12015]: client 66.249.72.84#58330: query (cache) 'www.autre-site.com/A/IN' denied
Pourquoi denied ?

Merci d'avance à toutes les âmes charitables qui voudront bien m'éclairer sur une ou plusieurs de mes interrogations.