LINUX.ORG.RU

Помогите новичку с DDOS

 


0

3

Привет. Я ни разу не сисадмин, вообще не в теме по этой части. Досят сайт на VPS. Ложится база, разрастаются файлы биарных логов mysql, мускул сдыхает, таблицы MyIsam крашатся.

Сейчас в mysql.log тьма запросов, ежесекундно, если mysql запущен:

Access denied for user '*****'@'localhost' (using password: YES)

Что сделал:

  1. Сменил порт доступа к серверу.

  2. Сменил порт mysql, прописал в конфиге: skip-networking = on

  3. Поставил fail2ban, работает «тюрьма» sshd и mysql. Взял файл конфигурации стандартный и вот что я там поменял/вписал:

ignoreip = [мой ip] 127.0.0.0/8
  
[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/auth.log
findtime    = 3600
maxretry    = 1
bantime     = 432000
  
[mysqld-auth]
enabled = true
port     = 1821
maxretry = 1
filter   = mysqld-auth
logpath  = /var/log/mysql/error.log

sshd банит (уже под 600 ip), но mysqld-auth ничего не делает.

В логах fail2ban.log:

2021-06-22 12:10:14,504 fail2ban.filter         [10971]: WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1']
2021-06-22 12:10:14,504 fail2ban.filter         [10971]: INFO    [mysqld-auth] Ignore 127.0.0.1 by ip

В логах nginx или apache ничего критичного не нашел.

Помогите советом, куда дальше копать?

Ответ на: комментарий от VladimirIvanov

грохнули все содержимое каталога /var/lib/mysql

осталось только это:

drwxr-xr-x  2 mysql mysql 4096 Jun 30 21:49 .
drwxr-xr-x 52 root  root  4096 Jun 30 20:38 ..
-rw-r-----  1 mysql mysql    0 Jun 30 21:48 binlog.index
-rw-------  1 mysql mysql 1679 Jun 30 21:48 ca-key.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 ca.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 client-cert.pem
-rw-------  1 mysql mysql 1679 Jun 30 21:48 client-key.pem
-rw-------  1 mysql mysql 1675 Jun 30 21:48 private_key.pem
-rw-r--r--  1 mysql mysql  451 Jun 30 21:48 public_key.pem
-rw-r--r--  1 mysql mysql 1107 Jun 30 21:48 server-cert.pem
-rw-------  1 mysql mysql 1675 Jun 30 21:48 server-key.pem

кто что скажет?)

VladimirIvanov ()
Ответ на: комментарий от VladimirIvanov

Я бы написал что-то оскорбительное (видит шома, я пытался и все еще хочу помочь), но нельзя. Ты не даешь никакой информации + неадекватно реагируешь на попытки помочь. Очень забавная ситуация, ты считаешь себя умнее других в этом вопросе, но при этом просишь советов. Окей, удачи.

tfeartx ()
Ответ на: комментарий от VladimirIvanov

Congradulations!

Система скомпрометирована. Переустанавливай все и сохрани все логи, которые есть, чтобы проанализирвоать где дыра. В зависимости от цены проекта стоит подумать о стоимости специалистов…

soomrack ★★★ ()