Fail2banが終了し、再起動しませんでした

tag-icon tag-icon ubuntu php-fpm fail2ban ddos
Fail2banが終了し、再起動しませんでした

今日、DDOS 攻撃のようなものに遭遇しました。サーバー プロバイダーから CPU 使用率が高すぎる (6 時間以上 400%) と警告され、どの Web サイトにもアクセスできず、SSH 経由でもログインできませんでした。Lish コンソールには、「php-fpm メモリ不足」のようなエラーが表示されました。

私にできた唯一のことは、ハードリブートでした。サーバーが再び起動した後、fail2ban のステータスを確認すると、「アクティブ (終了)」と表示されていました。再起動してログを確認したところ、次のようになりました。

fail2ban.log.2: ファイルの末尾は

2021-07-25 09:10:11,793 fail2ban.server         [26723]: INFO    Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server         [26723]: INFO    Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter         [26723]: INFO    Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter         [26723]: INFO    Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions        [26723]: NOTICE  [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail           [26723]: INFO    Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions        [26723]: NOTICE  [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail           [26723]: INFO    Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database       [26723]: INFO    Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server         [26723]: INFO    Exiting Fail2ban

日付に注意してください。

fail2ban.log.1空のファイルには、 fail2ban.log上記のサービスを再起動したことによる起動ログが含まれています。

これについてさらに情報が必要です。fail2ban は 7 月 25 日からオフラインでしたか? なぜ終了したのですか?

php-fpmのログも確認しましたが、次のような行がいっぱいありました。

[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children

はい、すぐにメモリ不足になります。これらのサーバーを起動したサーバー/ドメインがわかれば、調査の良いスタートになります。

ウブントゥ: 18.04 LTS
フェイル2バン: 0.10.2

アップデート: ここで起こっていることは、サーバーが 7 月 25 日に再起動されたが、fail2ban が自動的に起動しなかったということだと思います。必要な変更を加えたので、再起動するはずです。見つかったことをここで更新します。

関連情報