Heute war ich anscheinend einem DDOS-Angriff ausgesetzt. Mein Serveranbieter warnte mich vor übermäßiger CPU-Auslastung (400 % über 6 Stunden) und ich konnte auf keine Website zugreifen und mich auch nicht über SSH anmelden. Die Lish-Konsole meldete einen Fehler, der ungefähr so lautete: „php-fpm hat nicht genügend Arbeitsspeicher“.
Das Einzige, was ich tun konnte, war ein Hard-Reboot. Nachdem der Server wieder hochgefahren war, habe ich mir den Status von fail2ban angesehen und er zeigt „aktiv (beendet)“. Ich habe ihn neu gestartet, dann die Protokolle durchgesehen und hier ist, was ich habe:
fail2ban.log.2: Datei endet mit
2021-07-25 09:10:11,793 fail2ban.server [26723]: INFO Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTICE [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTICE [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Exiting Fail2ban
Beachten Sie die Termine.
fail2ban.log.1ist eine leere Datei
fail2ban.logmit den Startprotokollen, die durch meinen Neustart des oben genannten Dienstes verursacht wurden.
Ich muss mehr Informationen dazu finden. War fail2ban seit dem 25. Juli offline? Warum wurde es beendet?
Ich habe auch die php-fpm-Protokolle überprüft und sie sind voller Zeilen wie
[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children
Ja, das würde schnell zu viel Speicher beanspruchen. Wenn ich herausfinden könnte, welcher Server/welche Domäne diese Server gestartet hat, wäre das ein guter Ausgangspunkt für die Untersuchung.
Ubuntu: 18,04 LTS
Fail2ban: 0,10,2
Aktualisieren: Ich denke, was hier passiert, ist, dass der Server am 25. Juli neugestartet wurde, aber fail2ban nicht automatisch gestartet wurde. Ich habe jetzt die notwendigen Änderungen vorgenommen und es sollte wieder hochfahren. Ich werde hier aktualisieren, was ich herausfinde.