total: Вся доступная память, за вычетом съеденной ядром.
used: Память, как-то используемая. Обычно очень близко к total.
free: Память, никак не используемая. Обычно близка к нулю.
shared: Суммарный объем разделяемой памяти по всем использующим ее программам.
buffers: Дисковые буфера (кэш). Используются при I/O помимо VM.
Cached: VM кэш.

Таким образом, полностью свободная память не показатель, приложениям может быть выделена память после сброса кэша.

МастХэв.
Две невероятно полезные команды системного администратора для анализа узких мест ситемы:

Проверка текущей нагрузки на дисковую подсистему

iostat -x 1

Для подробного анализа производительности, например, диска dm-108 запускается команда. Ключ -m переводит все в мегабайты

iostat -x -m dm-108 1

Проверка текущей загрузки сети

iftop -n

iftop недоступен по-умолчанию, для этого следует установить пакет
aptitude install iftop

0. Обновляем списки пакетов

apt-get update

1. Устанавливаем необходимые для сборки пакеты

apt-get install build-essential fakeroot ncurses-dev dpkg-dev devscripts

2.

mkdir new_kernel; cd new_kernel

3. Добываем исходники текущего ядра со всеми патчами (версия со временем будет расти)

apt-get source linux-image-2.6.32-5-xen-amd64

Читать дальше

Майкрософт выпустила обновление, устраняющее грубейшую ошибку в протоколе RDP
technet.microsoft.com/ru-ru/security/bulletin/ms12-020

Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP

Уже выпущены публичные эксплоиты и тысячи школьников ринулись взламывать необновленные системы.
Первая массовая атака замечена вечером 19.03.2012. Необновленные системы съедают все имеющееся CPU.
Вывод:
— Не держите rdp на стандартном порту
— Пользуйтесь только официальными системами
— Чаще обновляйтесь

Открываем конфиг:
vim /etc/nginx/sites-enabled/www.site.ru.conf

Добавляем:
client_max_body_size 20m;

Перезапускаем Nginx:
/etc/init.d/nginx reload

4 запроса в 5 секунд
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --update --seconds 5 --hitcount 4 --name DEFAULT --rsource -j DROP
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set --name DEFAULT --rsource

Имеем:
Ботнет, генерирующий ~20.000 соединений в секунду. Входящий траффик ~70 Мб/с.
В логе апача картина:

187.2.194.149 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 173 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 6936) Opera 8.50 [ru]»
41.134.194.89 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 173 "-" «Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.9) Gecko/20050711 Firefox/1.0.5»
79.173.200.41 — - [15/Mar/2012:17:46:31 +0300] «GET /forum/topic/102808-ddos-uslugizakazat-ddosddos-attackddos-uslugi/ HTTP/1.0» 502 575 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)»

Итак, у нас однотипные запросы с постоянно меняющимся UA. К слову, через некоторое время атака поменялась и пошли запросы
GET /
и
POST /

1. Усиливаем TCP стек:
#cat /etc/sysctl.conf

net.ipv4.tcp_syncookies=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_keepalive_time=10
net.ipv4.tcp_fin_timeout=5

Читать дальше