Gan, help mau minta pendapat nih, tiba-tiba kemarin server web & mail ane mengalami lonjakan CPU load 100% karena MySQL nya terlalu banyak incoming connections. Terus ane kan pake Linux Ubuntu, pas ane coba command netstat -tan hasilnya ada lebih dari ratusan koneksi dari IP asal Rusia. Ane block satu IP itu, langsung deh server ane CPU load 100% turun drastis jadi cuma 3%.

Terus kayaknya si doski rusia ntu ga terima deh, dia nyoba connect2 terus ke server ane pake IP-IP russia lainnya. Walhasil daripada ane pusing, ane blok aja itu 1 negara rusia supayaa ga bisa akses server ane.

Tapi ane belum bisa tenang gan, soalnya doski nyoba -nyoba pake IP lain, ane perhatiin ada incoming connections dari negara Austria, Perancis, Seychelles yang ga jelas gitu gan, padahal ane kan bukan jalanin website internasional, cuma website lokal doank.

Yang diserang itu bagian SQL nya, jadi mereka terus-terusan generate SQL connections dengan time out yang singkat. Terus keputus. Contohnya gini gan klo dilihat dari Webmin -> MySQL Server ->Database Connections :


Itu saking banyaknya sampe ID nya tuh tadi pagi masih 4000-an tapi siang ini udah 8000-an. Kalo kata sumber nara dari tempat lain katanya "Current situation is, you need to figure out which web application is used by spammer/hacker to generate so many sql connections." Tapi ane bingung gimana cara taunya mana aplikasi web yang digunain sbg spammer untuk generate sql connections

Help me gan. Butuh saran dan pendapat