За последние пару дней один мой vps-сервер дважды выходил из строя без видимых причин. Все системы на нем обновлены. Fail2ban установлен и заключен в тюрьму, как обычно, я доверяю компании-провайдеру сервера, система распространения - Ubuntu 14.
Поэтому я проверил несколько журналов и обнаружил в журналах ошибок mysql около 60 предупреждений, подобных приведенному ниже, за 90 секунд, за 1 час до того, как я получил письмо от системы мониторинга vps, информирующее меня о том, что vps не работает:
[Warning] IP address 'XXX.XXX.XXX.XXX' could not be resolved: Temporary failure in name resolution
Может ли это быть атака грубой силы на mysql, которая привела к сбою сервера? Имеет ли это смысл?
Сервер и сайт из Западной Европы. IP в предупреждении ведет в Пекин.
Есть ли какая-либо конфигурация mysql, которую я могу сделать, чтобы избежать такого рода запросов? На самом деле я не понимаю, как кто-то может запросить mysql на моем сервере.
Я предлагаю убедиться, что у вас есть брандмауэр на основе хоста, разрешающий трафик к нему только с самого хоста (и с веб-сервера, если это веб-приложение). Вам нужен только TCP 3306, открытый для указанных хостов, а не общедоступный Интернет.