Fail2ban이 종료되고 백업이 시작되지 않았습니다.

오늘 나는 DDOS 공격처럼 보이는 것을 직면했습니다. 내 서버 공급자는 과도한 CPU 사용량(6시간 이상 400%)에 대해 경고했고 웹사이트에 액세스할 수 없었고 SSH를 통해서도 로그인할 수 없었습니다. Lish 콘솔에서 'php-fpm 메모리 부족'과 같은 오류가 보고되었습니다.

내가 할 수 있는 유일한 일은 하드 재부팅뿐이었습니다. 서버가 다시 가동된 후 Fail2ban의 상태를 보니 '활성(종료)'이라고 표시되어 있습니다. 다시 시작한 다음 로그를 살펴보니 다음과 같은 내용이 있습니다.

fail2ban.log.2: 파일은 다음으로 끝납니다.

2021-07-25 09:10:11,793 fail2ban.server         [26723]: INFO    Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server         [26723]: INFO    Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter         [26723]: INFO    Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter         [26723]: INFO    Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions        [26723]: NOTICE  [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions        [26723]: NOTICE  [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail           [26723]: INFO    Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions        [26723]: NOTICE  [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail           [26723]: INFO    Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database       [26723]: INFO    Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server         [26723]: INFO    Exiting Fail2ban

날짜를 확인하세요.

fail2ban.log.1fail2ban.log위의 서비스를 다시 시작함으로써 발생한 시작 로그가 있는 빈 파일입니다 .

이에 대해 더 많은 정보를 알아보아야 합니다. 7월 25일부터 Fail2ban이 오프라인이었나요? 왜 종료되었나요?

또한 php-fpm 로그를 확인했는데 다음과 같은 줄로 채워져 있습니다.

[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children

응, 그러면 기억이 빨리 없어질 것 같아. 어떤 서버/도메인이 이러한 서버를 시작했는지 알아낼 수 있다면 조사를 시작하는 데 도움이 될 것입니다.

우분투: 18.04 LTS
Fail2ban: 0.10.2

---

업데이트: 제 생각엔 7월 25일에 서버를 재부팅했는데, FAIL2BAN이 자동으로 시작되지 않아서 발생한 현상인 것 같습니다. 지금 필요한 변경을 했으니 다시 나타나야 합니다. 내가 찾은 내용을 여기에 업데이트하겠습니다.