apache redirect attack

Hali!

A kovetkezo problemaban kernem a segitsegeteket, hatha valaki mar talalkozott ezzel.
Van egy debian lenny szerver, tobb domaint kiszolgal, web, levelezes, ftp stb. A gond az apache szerverrel lenne. A latogato szamara a tunet az, hogy eliranyitja az osszes domaint (kulon virtual webszervereket es nem DNS-t) altalaban valtozo, rossziindulatu oldalakra. Megvizsgalva azt tapasztaltam, hogy ilyenkor az apache spare-jei egyszeruen kihalnak, a parent probalja oket forkolni, de mindig elszallnak, defunct lesz az osszes. Ugyanakkor ki tudja a szolgalni a kereseket, mindig aktualisan letrehozza az adott processt, de nincs tobbe spare. Ezt pl. egy munin grafikonon ugy kell elkepzelni, hogy egy ideig szepen savosan mutatja a hasznalatban levo es spare apachokat, aztan idovel egyszercsak elkezd "szorosodni", nincs allando spare sav es ilyenkor altalaban hamarosan jon a redirect. Ugyanakkor ilyenkor a CPU load megugrik es allandosult magas szinten marad ("maxclient 0" eseten 100% !, "maxclient xy" ertek eseten xy-tol fuggo szinten). Apache restart segit, ilyenkor jo mondjuk 2 napig, aztan spare-ek halnak, beindul a cpu zaba, atiranyitas egyszercsak bekovetkezik. Ami fontos lehet, hogy a spare defunctok es a CPU zabalas egyszerre tortenik, ez ertheto is lehet, az atiranyitas nem feltetlen rogton, viszont ha elindult, akkor marad. Ugyanakkor az atiranyitas alatt megfigyelheto, hogy egy kiszolgalt site-ot sokszor lekerve neha-neha bejon az eredeti oldal, monjduk 15-bol 1-szer.

A szerveren tobb statikus oldal is talalhato, ezeket talan ki lehet zarni, van joomla-t futtato domain, es van egy olyan domain, ami joomla alapu, nagyon sok szerteagazo modullal es raadasul ioncube-ot is hasznal. Igazabol az utobbi oldalra gyanakszom foleg az ioncube miatt (hiszen ez egy kulso fizetos modul), ennek a loaderet a php.ini -ben allandora be kell tolteni mint zend extansion. Most ezt kivettem megnezni, hoyg ez okozza -e a problemat. Ha ez, akkor az a kisebb baj, mert ugyan szukseg lenne ra, de megvan a gond. Ha nem ez a baj, akkor meg lehet tovabb kutatnom.
Azt nem hiszem, hoyg apache config problema lenne, egyreszt a jelenseg tul sztochasztikus ahhoz, masreszt egy default apache configtol csak kb a spare es cleint testreszabasban es a virtual szerverek kulon configokban letrehozasaban ter el. Az error.log-okban igazan nem volt semmi lathato, apache.log-ban sem igazan talaltam semmi gyanusat egyelore.

Elore is koszonom az otleteket, segitsegeket!