Нашел критическую уязвимость сайта.

10. Vantuz, sudo ulimit -n? не удивлюсь если стоит дефолтное значение.

Добавлено через 01:00 сек.
Так же ствавь таймаут поменьше на ожидание данных от клиента

в /etc/security/limits.conf все прописано как нужно и далеко не дефолтное значение

Сайт ложится созданием висящих сокетов на 80ый порт. Грепни лог в nginx на 500

Добавлено через 01:04 сек.
Если конечно не стоит связка с апачем

Vantuz (23 Февраля 2014 / 21:20)
в /etc/security/limits.conf все прописано как нужно и далеко не дефолтное значение

Кстати ты смотри не на limits.conf а на ulimit -n в полне возможно что nofile сброшен в дефолтное значение из за некорректного limits.conf

сервак настроен для работы, а от данного вида атаки большая часть серваков рунета не защищена.

16. Кевин Митник_HHTeam, убери из поста описание атаки. ща школьники пойдут валить сайты направо и налево..

17. ramzes, убрал.

если не ошибаюсь, существует с 2009 года. голый апач, lighthttpd никаким образом нельзя защитить. nginx спасает, но вот хз что было упущено в настройке сервера для висави, что он упал. с теорией как бы знаком, и все такое

18. Кевин Митник_HHTeam, на хабре ради интереса почитал, занятно выходит в комплете с Тором

провели атаку на его nginx/0.8.54, причем атака проводилась через TOR с частой сменой IP. Результатом был упавший сервер — лишь изредка проскакивали нормальные страницы, все чаще появлялись ужасы из подземелий 500ые ошибки, наконец сервер вообще перестал что-либо выдавать.

Скорее всего, в NGINX сервере, который я положил, кэширование клиентских запросов было отключено

19. ramzes, проблема решилась ограничением одновременных коннектов с одного ip, увеличением лимита коннектов в целом, запретом принимать заголовки "Range" и "Request-Range"

19. ramzes, Я даже над медленным постом не парился. Тупо создавал столько сокетов сколько жертва могла принять. Как правило по дефолту стоит лимит на пару тысяч.

Добавлено через 01:58 сек.
Это тестил свой сервер. Решил пройтись тестировщиком по знакомым сайтам.