Hoy me enfrenté a lo que parecía un ataque DDOS. El proveedor de mi servidor me advirtió sobre el uso excesivo de la CPU (400% durante más de 6 horas) y no pude acceder a ningún sitio web, ni tampoco pude iniciar sesión a través de SSH. La consola de Lish informó un error que decía algo así como "php-fpm sin memoria".
Lo único que pude hacer fue un reinicio completo. Después de que el servidor estuvo activo nuevamente, miré el estado de fail2ban y muestra "activo (salido)". Lo reinicié, luego revisé los registros y esto es lo que tengo:
fail2ban.log.2: El archivo termina con
2021-07-25 09:10:11,793 fail2ban.server [26723]: INFO Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTICE [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTICE [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Exiting Fail2ban
Fíjate en las fechas.
fail2ban.log.1es un archivo vacío
fail2ban.logque tiene los registros de inicio causados por reiniciar el servicio anterior.
Necesito encontrar más información sobre esto. ¿Fail2ban estuvo fuera de línea desde el 25 de julio? ¿Por qué salió?
También revisé los registros de php-fpm y están llenos de líneas como
[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children
Sí, eso se borraría rápidamente de la memoria. Si pudiera averiguar qué servidor/dominio inició estos servidores, sería un buen comienzo para la investigación.
ubuntu: 18.04LTS
falla2ban: 0.10.2
Actualizar: Creo que lo que está pasando aquí es que el servidor se reinició el 25 de julio pero fail2ban no se inició automáticamente. He realizado los cambios necesarios ahora y debería volver a aparecer. Actualizaré aquí lo que encuentre.