Сегодня я столкнулся с чем-то вроде DDOS-атаки. Мой провайдер предупредил меня о чрезмерной загрузке процессора (400% в течение более 6 часов), и я не смог получить доступ ни к одному сайту, не смог войти через SSH. Lish console сообщил об ошибке, которая выглядела примерно так: «php-fpm out of memory».
Единственное, что я мог сделать, это жесткая перезагрузка. После того, как сервер снова заработал, я посмотрел на статус fail2ban, и он показал «активный (вышел)». Я перезапустил его, затем просмотрел логи, и вот что у меня есть:
fail2ban.log.2: Файл заканчивается на
2021-07-25 09:10:11,793 fail2ban.server [26723]: INFO Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTICE [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTICE [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Exiting Fail2ban
Обратите внимание на даты.
fail2ban.log.1пустой файл
fail2ban.logсодержит журналы запуска, вызванные моим перезапуском службы выше.
Мне нужно узнать больше информации об этом. Fail2ban был офлайн с 25 июля? Почему он вышел?
Я также проверил логи php-fpm, и они заполнены строками вроде
[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children
Да, это быстро вышло бы из памяти. Если бы я мог узнать, какой сервер/домен запустил эти серверы, это было бы хорошим началом расследования.
Убунту: 18.04 ЛТС
Fail2ban: 0.10.2
Обновлять: Я думаю, что здесь происходит следующее: сервер был перезагружен 25 июля, но fail2ban не запустился автоматически. Я внес необходимые изменения, и он должен снова заработать. Обновлю здесь то, что найду.