Помогите новичку с DDOS

0

3

Привет. Я ни разу не сисадмин, вообще не в теме по этой части. Досят сайт на VPS. Ложится база, разрастаются файлы биарных логов mysql, мускул сдыхает, таблицы MyIsam крашатся.

Сейчас в mysql.log тьма запросов, ежесекундно, если mysql запущен:

Access denied for user '*****'@'localhost' (using password: YES)

Что сделал:

Сменил порт доступа к серверу.
Сменил порт mysql, прописал в конфиге: skip-networking = on
Поставил fail2ban, работает «тюрьма» sshd и mysql. Взял файл конфигурации стандартный и вот что я там поменял/вписал:

ignoreip = [мой ip] 127.0.0.0/8
  
[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/auth.log
findtime    = 3600
maxretry    = 1
bantime     = 432000
  
[mysqld-auth]
enabled = true
port     = 1821
maxretry = 1
filter   = mysqld-auth
logpath  = /var/log/mysql/error.log

sshd банит (уже под 600 ip), но mysqld-auth ничего не делает.

В логах fail2ban.log:

2021-06-22 12:10:14,504 fail2ban.filter         [10971]: WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1']
2021-06-22 12:10:14,504 fail2ban.filter         [10971]: INFO    [mysqld-auth] Ignore 127.0.0.1 by ip

В логах nginx или apache ничего критичного не нашел.

Помогите советом, куда дальше копать?

Ссылка

←	Opera отрубила встроенный VPN.

Обмен симметричными ключами

→

← 1 2 →

Ответ на: комментарий от VladimirIvanov 30.06.21 16:57:54 MSK

Это именно http запросы.

anonymous
(30.06.21 23:39:48 MSK)

Ссылка

Ответ на: комментарий от VladimirIvanov 30.06.21 22:11:23 MSK

грохнули все содержимое каталога /var/lib/mysql

осталось только это:

drwxr-xr-x  2 mysql mysql 4096 Jun 30 21:49 .
drwxr-xr-x 52 root  root  4096 Jun 30 20:38 ..
-rw-r-----  1 mysql mysql    0 Jun 30 21:48 binlog.index
-rw-------  1 mysql mysql 1679 Jun 30 21:48 ca-key.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 ca.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 client-cert.pem
-rw-------  1 mysql mysql 1679 Jun 30 21:48 client-key.pem
-rw-------  1 mysql mysql 1675 Jun 30 21:48 private_key.pem
-rw-r--r--  1 mysql mysql  451 Jun 30 21:48 public_key.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 server-cert.pem
-rw-------  1 mysql mysql 1675 Jun 30 21:48 server-key.pem

кто что скажет?)

VladimirIvanov
(30.06.21 23:53:40 MSK) автор топика

Ответ на: комментарий от VladimirIvanov 30.06.21 23:53:40 MSK

Я бы написал что-то оскорбительное (видит шома, я пытался и все еще хочу помочь), но нельзя. Ты не даешь никакой информации + неадекватно реагируешь на попытки помочь. Очень забавная ситуация, ты считаешь себя умнее других в этом вопросе, но при этом просишь советов. Окей, удачи.

~~tfeartx~~
(05.07.21 01:28:05 MSK)

Ссылка

Ответ на: комментарий от VladimirIvanov 30.06.21 16:57:54 MSK

не http запросы значит?
Rate Limiting от cloudflare спас от последних попыток.

Клаудфларе спас (проксированием http), но это не http запросы. Окей!

~~tfeartx~~
(05.07.21 01:31:24 MSK)

Ссылка

Ответ на: комментарий от VladimirIvanov 30.06.21 23:53:40 MSK

Congradulations!

Система скомпрометирована. Переустанавливай все и сохрани все логи, которые есть, чтобы проанализирвоать где дыра. В зависимости от цены проекта стоит подумать о стоимости специалистов…

soomrack ★★★★
(10.07.21 22:35:41 MSK)