Hôm nay tôi phải đối mặt với một cuộc tấn công DDOS.Nhà cung cấp máy chủ của tôi đã cảnh báo tôi về việc sử dụng CPU quá mức (400% trong hơn 6 giờ) và tôi không thể truy cập bất kỳ trang web nào, cũng không thể đăng nhập qua SSH. Bảng điều khiển Lish đã báo lỗi giống như 'php-fpm hết bộ nhớ'.
Điều duy nhất tôi có thể làm là khởi động lại cứng. Sau khi máy chủ hoạt động trở lại, tôi đã xem trạng thái của fail2ban và nó hiển thị 'đang hoạt động (đã thoát)'. Tôi đã khởi động lại nó, sau đó xem qua nhật ký và đây là những gì tôi có:
fail2ban.log.2: Tệp kết thúc bằng
25-07-2021 09:10:11,793 fail2ban.server [26723]: THÔNG TIN Đang tắt máy...
25-07-2021 09:10:11,794 fail2ban.server [26723]: THÔNG TIN Ngừng tất cả các nhà tù
25-07-2021 09:10:11,795 fail2ban.filter [26723]: THÔNG TIN Đã xóa tệp nhật ký: '/var/log/auth.log'
25-07-2021 09:10:11,817 fail2ban.filter [26723]: THÔNG TIN Đã xóa tệp nhật ký: '/var/log/apache2/error.log'
25-07-2021 09:10:12,062 fail2ban.actions [26723]: THÔNG BÁO [sshd] Xóa (các) vé bằng iptables-multiport
25-07-2021 09:10:12,070 fail2ban.actions [26723]: THÔNG BÁO [sshd] Bỏ cấm [IP]
25-07-2021 09:10:12,070 fail2ban.actions [26723]: THÔNG BÁO [sshd] Bỏ cấm [IP]
25-07-2021 09:10:12,070 fail2ban.actions [26723]: THÔNG BÁO [sshd] Bỏ cấm [IP]
25-07-2021 09:10:12,070 fail2ban.actions [26723]: THÔNG BÁO [sshd] Bỏ cấm [IP]
25-07-2021 09:10:12,070 fail2ban.actions [26723]: THÔNG BÁO [sshd] Bỏ cấm [IP]
25-07-2021 09:10:12,082 fail2ban.jail [26723]: INFO Jail 'sshd' đã dừng
25-07-2021 09:10:12,189 fail2ban.actions [26723]: THÔNG BÁO [apache-noscript] Xóa (các) vé với iptables-multiport
25-07-2021 09:10:12,286 fail2ban.jail [26723]: INFO Jail 'apache-noscript' đã dừng
25-07-2021 09:10:12,289 fail2ban.database [26723]: INFO Đã đóng kết nối với cơ sở dữ liệu.
25-07-2021 09:10:12,289 fail2ban.server [26723]: THÔNG TIN Thoát Fail2ban
Chú ý ngày tháng.
fail2ban.log.1 là một tập tin trống
fail2ban.log có nhật ký khởi động do tôi khởi động lại dịch vụ ở trên.
Tôi cần tìm hiểu thêm thông tin về việc này. Fail2ban có ngoại tuyến từ ngày 25 tháng 7 không? Tại sao nó thoát ra?
Tôi cũng đã kiểm tra nhật ký php-fpm và chúng chứa đầy những dòng như
[05-Aug-2021 05:31:40] CẢNH BÁO: [pool 154995045616202] có vẻ bận (bạn có thể cần tăng pm.start_servers hoặc pm.min/max_spare_servers), sinh ra 32 con, có 0 con nhàn rỗi và 2897 tổng số trẻ em
Vâng, điều đó sẽ nhanh chóng hết bộ nhớ. Nếu tôi có thể tìm ra máy chủ/miền nào đã khởi động các máy chủ này, đó sẽ là một khởi đầu tốt cho cuộc điều tra.
Ubuntu: 18.04 LTS
Fail2ban: 0.10.2
Cập nhật: Tôi nghĩ điều đang xảy ra ở đây là máy chủ đã được khởi động lại vào ngày 25 tháng 7 nhưng fail2ban không tự khởi động. Tôi đã thực hiện các thay đổi cần thiết ngay bây giờ và nó sẽ hoạt động trở lại. Sẽ cập nhật ở đây những gì tôi tìm thấy.
