тысячи Aborted_connects

AX
На сайте с 15.06.2004
Offline
127
480

Приветствую,

столкнулся с сабжем, а именно такой штукой:


> show status like '%_conn%';
| Aborted_connects | 39092 |
| Max_used_connections | 69 |
| Ssl_client_connects | 0 |
| Ssl_connect_renegotiates | 0 |
| Ssl_finished_connects | 0 |
| Threads_connected | 12 |

и это за ночь.... в логах marinaDB такое:


190924 1:08:49 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:49 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:49 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:50 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:50 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:50 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:51 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:51 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:51 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:52 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:52 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:52 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:53 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:53 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:53 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:54 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)
190924 1:08:54 [Warning] Access denied for user 'www-root'@'localhost' (using password: NO)

я подумал, что-то слетело на сайте, нет - все работает, отключил сайт совсем.... warning продолжают в лог писаться....

Подскажите куда копать, плиз? и как пофиксить?

посмотрел в логах еще раз, там попадаются такие куски, но не много., в основном то что выше..


190923 13:38:28 [Warning] Access denied for user 'apache'@'localhost' (using password: YES)
190923 13:38:29 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:29 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:30 [Warning] Access denied for user 'wordpress'@'localhost' (using password: YES)
190923 13:38:30 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:31 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:31 [Warning] Access denied for user 'ueer'@'localhost' (using password: YES)
190923 13:38:32 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:33 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:33 [Warning] Access denied for user 'joomla'@'localhost' (using password: YES)
190923 13:38:34 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:34 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:35 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:35 [Warning] Access denied for user 'wp'@'localhost' (using password: YES)
190923 13:38:36 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:36 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:37 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:37 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:38 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:39 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:39 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:40 [Warning] Access denied for user 'http'@'localhost' (using password: YES)
190923 13:38:40 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:41 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:41 [Warning] Access denied for user 'pma'@'localhost' (using password: YES)
190923 13:38:42 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
190923 13:38:42 [Warning] Access denied for user 'root'@'localhost' (using password: YES)

база marinaDB, сервер на centos 7

HB
На сайте с 02.10.2014
Offline
64
#1

Шелл на сервере. Скрипты проверяйте. Еще какие-то сайты есть? Дефолтный может? Php cgi, apache или fpm?

AX
На сайте с 15.06.2004
Offline
127
#2

на сервере 2 сайта на php, и 2 БД, есть еще пару сайтов, которые коннектятся удаленно к одной из БД.

php работает как модyль Apache

lonelywoolf
На сайте с 23.12.2013
Offline
151
#3

У вас в логе чётко написано: кто-то с сервера пытается подключиться к БД с логином root и без пароля. Скорее всего, ваш сервер уже даже порутали.

Есть шанс, что где-то в скриптах вы оставили настройки по умолчанию и они оказались root/остуствие пароля. Но...

Платный и бесплатный хостинг с защитой от DDoS (http://aquinas.su)
AX
На сайте с 15.06.2004
Offline
127
#4
lonelywoolf:
У вас в логе чётко написано: кто-то с сервера пытается подключиться к БД с логином root и без пароля.

это я понимаю, найти не могу кто и как :( где искать вот в чем вопрос.


Есть шанс, что где-то в скриптах вы оставили настройки по умолчанию и они оказались root/остуствие пароля. Но...

я грешил на скрипты, попробовал отключить все сайты в ispmanager, по моим понятиям должно бы перестать пытаться подключаться, НО все тоже самое в лог сыплется...... несколько попыток в секунду...

lonelywoolf
На сайте с 23.12.2013
Offline
151
#5

Ну пипец вашему серверу с огромной долей вероятности (исходя из опыта - тут, конечно, надо руками посмотреть, потрогать, но...). Как минимум быстрее и проще сделать реинсталл. На будущее - или следить самостоятельно, или завести админа.

---------- Добавлено 24.09.2019 в 13:59 ----------

Смотрите подозрительные процессы, проверяйте кронтабы (в том числе и апача), может сайты заражены. ПРоверьте айболитом. Поищите подозрительные файлы. Проверьте код сайтов, возможно, он был изменён.

AX
На сайте с 15.06.2004
Offline
127
#6

фуффф.... победа.....вроде🍻. оказалось все таки косяк в коде.

подключение к бд закрывалось на половине скрипта и потом сразу открывалось снова.... зачем не знаю..

убрал эту фигню.. и все вроде ок.

понаблюдаю🚬

lonelywoolf
На сайте с 23.12.2013
Offline
151
#7

Это хорошо, значит вам просто нужно тестировать скрипты заранее.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий