Hoje enfrentei o que parecia ser um ataque DDOS. Meu provedor de servidor me avisou sobre o uso excessivo da CPU (400% por mais de 6 horas) e não consegui acessar nenhum site, nem fazer login via SSH. O console Lish relatou um erro semelhante a 'php-fpm sem memória'.
A única coisa que pude fazer foi uma reinicialização forçada. Depois que o servidor voltou a funcionar, olhei o status do fail2ban e ele mostra 'ativo (saiu)'. Eu reiniciei, olhei os logs e aqui está o que tenho:
fail2ban.log.2: O arquivo termina com
2021-07-25 09:10:11,793 fail2ban.server [26723]: INFO Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTICE [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTICE [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Exiting Fail2ban
Observe as datas.
fail2ban.log.1é um arquivo vazio
fail2ban.logque contém os logs de inicialização causados pela reinicialização do serviço acima.
Preciso descobrir mais informações sobre isso. O fail2ban estava offline desde 25 de julho? Por que saiu?
Eu também verifiquei os logs do php-fpm e eles estão preenchidos com linhas como
[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children
Sim, isso ficaria sem memória rapidamente. Se eu pudesse descobrir qual servidor/domínio iniciou esses servidores, seria um bom começo para a investigação.
Ubuntu: 18.04 LTS
Fail2ban: 0.10.2
Atualizar: Acho que o que está acontecendo aqui é que o servidor foi reiniciado em 25 de julho, mas o fail2ban não iniciou automaticamente. Fiz as alterações necessárias agora e ele deve voltar a funcionar. Atualizarei aqui o que encontrar.