Для начала отрубить поиск чтобы остальная часть сайта работала пока вы исправляете его.
ддос через поиск одна из самых простых атак.
все дело в медленных запросах к бд. скорее всего у вас стоит mysql с движком innodb или другая бд/движок mysql не поддерживающая полнотекстовый поиск, либо поддерживает но индекс не построен.
Поэтому часто совсем небольшого кол-ва запросов (4-10) достаточно чтобы положить сайт.
Выходов несколько:
1. Временная мера - бан по ip или кол-ву поисковых запросов в ед времени на уровне приложения.
2. Проверка БД, индексов и самих медленных запросов
3. Сервера полнотекстового поиска: sphinx, elasticsearch, solr, apache lucence итп
