înregistrare Logare
Puncte:0
Whip avatar Server

Fail2ban a ieșit și nu a pornit din nou

drapel cn
Whip

Astăzi m-am confruntat cu un ceea ce părea un atac DDOS.Furnizorul meu de server m-a avertizat despre utilizarea excesivă a procesorului (400% timp de peste 6 ore) și nu am putut accesa niciun site web, nici nu m-am putut autentifica prin SSH. Consola Lish a raportat o eroare care a ieșit ceva de genul „php-fpm din memorie”.

Singurul lucru pe care l-am putut face a fost o repornire grea. După ce serverul a fost din nou pornit, m-am uitat la starea lui fail2ban și arată „activ (ieșit)”. L-am repornit, apoi m-am uitat prin jurnale și iată ce am:

fail2ban.log.2: Fișierul se termină cu

2021-07-25 09:10:11,793 fail2ban.server [26723]: INFORMAȚII Oprire în curs...
2021-07-25 09:10:11,794 fail2ban.server [26723]: INFO Oprirea tuturor închisorilor
2021-07-25 09:10:11,795 fail2ban.filter [26723]: INFO Fișier jurnal eliminat: „/var/log/auth.log”
2021-07-25 09:10:11,817 fail2ban.filter [26723]: INFO Fișier jurnal eliminat: „/var/log/apache2/error.log”
2021-07-25 09:10:12,062 fail2ban.actions [26723]: NOTIFICARE [sshd] Spălați biletele cu iptables-multiport
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTĂ [sshd] Anulează [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTĂ [sshd] Anulează [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTĂ [sshd] Anulează [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTĂ [sshd] Anulează [IP]
2021-07-25 09:10:12,070 fail2ban.actions [26723]: NOTĂ [sshd] Anulează [IP]
2021-07-25 09:10:12,082 fail2ban.jail [26723]: INFO închisoare „sshd” oprit
2021-07-25 09:10:12,189 fail2ban.actions [26723]: NOTIFICARE [apache-noscript] Flush ticket(e) cu iptables-multiport
2021-07-25 09:10:12,286 fail2ban.jail [26723]: INFO închisoare „apache-noscript” oprită
2021-07-25 09:10:12,289 fail2ban.database [26723]: INFO Conexiune la baza de date închisă.
2021-07-25 09:10:12,289 fail2ban.server [26723]: INFO Ieșire din Fail2ban

Observați datele.

fail2ban.log.1 este un fișier gol fail2ban.log are jurnalele de pornire cauzate de repornirea serviciului de mai sus.

Trebuie să aflu mai multe informații despre asta. Fail2ban a fost offline din 25 iulie? De ce a ieșit?

De asemenea, am verificat jurnalele php-fpm și sunt pline cu linii precum

[05-Aug-2021 05:31:40] AVERTISMENT: [pool 154995045616202] pare ocupat (poate fi necesar să măriți pm.start_servers sau pm.min/max_spare_servers), generând 32 de copii, sunt 0 inactiv și 2897 total copii

Da, s-ar pierde rapid din memorie. Dacă aș putea afla ce server/domeniu a pornit aceste servere, acesta ar fi un bun început pentru investigație.

Ubuntu: 18,04 LTS
Fail2ban: 0.10.2

Actualizați: Cred că ceea ce se întâmplă aici este că serverul a fost repornit pe 25 iulie, dar fail2ban nu a pornit automat. Am făcut modificările necesare acum și ar trebui să revină. Voi actualiza aici ce gasesc.

105
0 + 4
drapel jp
Esa Jokinen
Verificați-vă syslog. S-ar putea să fi fost ucigașul OOM.
0
Răspunde
Whip avatar
drapel cn
Whip
Este un fișier uriaș. Poți să-mi spui ce caut?
0
Răspunde
drapel jp
Esa Jokinen
Ce s-a întâmplat chiar înainte de `2021-07-25 09:10:11,793`.
0
Răspunde
Whip avatar
drapel cn
Whip
Din păcate, nu am loguri de atunci. Serverul păstrează jurnalele pentru o săptămână. Voi fi cu ochii pe fail2ban
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.