سلام
من همین مشکل رو داشتم چند ماه پیش و مشکل از این بود که یکی از یوزر هام یک اسکریپتی رو هاستش داشت خودش که میگفت مال rss هست ولی همون داشت پدر سرور رو در میاورد
شما با این دستور ببینید هر آی پی چند بار لوگین کرده
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
منظورم ddos نیست!
فقط برای احتیاط گفتم
برید داخل csf و ct_limit رو روی 100 بذارین. (ابته اگه csf دارین)
در کل اگه مشکلتون حل نشد به یاهو آی دیم پی ام بدین شاید تونستم کاری بکنم
موفق باشید