Сегодня я столкнулся с чем-то вроде DDOS-атаки.Мой провайдер сервера предупредил меня о чрезмерной загрузке ЦП (400% в течение более 6 часов), и я не мог получить доступ ни к одному веб-сайту, а также не мог войти через SSH. Консоль Lish сообщила об ошибке, похожей на «Недостаточно памяти для php-fpm».
Единственное, что я мог сделать, это жесткая перезагрузка. После того, как сервер снова заработал, я посмотрел на статус fail2ban, и он показывает «активен (вышел)». Я перезапустил его, затем просмотрел логи и вот что у меня есть:
fail2ban.log.2: файл заканчивается на
2021-07-25 09:10:11,793 fail2ban.server [26723]: ИНФОРМАЦИЯ Идет завершение работы...
2021-07-25 09:10:11,794 fail2ban.server [26723]: ИНФОРМАЦИЯ Остановка всех тюрем
2021-07-25 09:10:11,795 fail2ban.filter [26723]: ИНФОРМАЦИЯ Удален файл журнала: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: ИНФОРМАЦИЯ Удален файл журнала: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Сбросить билеты с помощью iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Разблокировать [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Разблокировать [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Разблокировать [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Разблокировать [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [sshd] Разблокировать [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' остановлен
2021-07-25 09:10:12,189 fail2ban.actions [26723]: УВЕДОМЛЕНИЕ [apache-noscript] Сбросить билеты с помощью iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' остановлен
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Соединение с базой данных закрыто.
2021-07-25 09:10:12,289 fail2ban.server [26723]: ИНФОРМАЦИЯ Выход из Fail2ban
Обратите внимание на даты.
fail2ban.log.1 это пустой файл
fail2ban.log есть журналы запуска, вызванные тем, что я перезапустил службу выше.
Мне нужно узнать больше информации об этом. Был ли fail2ban недоступен с 25 июля? Почему вышел?
Я также проверил журналы php-fpm, и они заполнены такими строками, как
[05-Aug-2021 05:31:40] ПРЕДУПРЕЖДЕНИЕ: [пул 154995045616202] кажется занятым (вам может потребоваться увеличить pm.start_servers или pm.min/max_spare_servers), порождает 32 дочерних элемента, 0 простаивает и 2897 всего детей
Да, это бы быстро вылетело из памяти. Если бы я мог узнать, какой сервер/домен запустил эти серверы, это было бы хорошим началом расследования.
Убунту: 18.04 ЛТС
Fail2ban: 0.10.2
Обновлять: Я думаю, что здесь происходит то, что сервер был перезагружен 25 июля, но fail2ban не запустился автоматически. Я сделал необходимые изменения сейчас, и он должен вернуться. Буду обновлять здесь то, что нахожу.
