今天我遇到了一次類似 DDOS 的攻擊。我的伺服器供應商警告我 CPU 使用率過高(超過 6 小時 400%),而且我無法造訪任何網站,也無法透過 SSH 登入。 Lish 控制台報告了一個類似「php-fpm 記憶體不足」的錯誤。
我唯一能做的就是硬重啟。伺服器再次啟動後,我查看了fail2ban的狀態,它顯示「活動(已退出)」。我重新啟動它,然後查看日誌,這就是我所擁有的:
fail2ban.log.2: 文件結尾為
2021-07-25 09:10:11,793 fail2ban.server [26723]: INFO Shutdown in progress...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Stopping all jails
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/auth.log'
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Removed logfile: '/var/log/apache2/error.log'
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTICE [sshd] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTICE [sshd] Unban [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' stopped
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTICE [apache-noscript] Flush ticket(s) with iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' stopped
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Connection to database closed.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Exiting Fail2ban
注意日期。
fail2ban.log.1是一個空文件,
fail2ban.log其中包含我重新啟動上面的服務所引起的啟動日誌。
我需要了解更多有關此的資訊。 7月25日起,fail2ban就離線了嗎?為什麼它退出了?
我還檢查了 php-fpm 日誌,它們充滿了類似的行
[05-Aug-2021 05:31:40] WARNING: [pool 154995045616202] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 32 children, there are are 0 idle, and 2897 total children
是的,那很快就會耗盡記憶體。如果我能找出哪個伺服器/網域啟動了這些伺服器,那將是調查的良好開端。
烏班圖:18.04 LTS
失敗2禁止:0.10.2
更新:我認為這裡發生的情況是伺服器在7月25日重新啟動,但fail2ban沒有自動啟動。我現在已經做了必要的改變,它應該會恢復。將在這裡更新我發現的內容。