MySQLの攻撃 - それを防ぐには？

Question

私は、サーバーへの攻撃を経験してきた、とApacheのconfファイルに以下を含めによりxmlrpcのアクセスをブロックしています

今

<files xmlrpc.php> 
    order allow,deny 
    deny from all 
</files> 

、代わりにすべてのカップルの時間MySQLサービスを破砕の、それは二回に一度/押しつぶします1日。それはまだ問題です。 fail2ban 1時間に2回失敗したssh試行を禁止します。

のmysqld [18852]：：しかし、私は約100+ daemon.logに次のエントリを参照してくださいユーザー 'ルート' のために拒否された2016年10月13日3時06分40秒139773247216384 [警告]アクセス を@ '139.196.28.237'（使用してパスワード：YES）

これらすべての100+の試みは分以内に起こり、そして約一時間後、私のようないくつかのメッセージを参照してください。

のmysqld [18852]：2016 -10-13 3:32:52 139773325777664 [警告] Unsafe statem BOOLOG_FORMAT =ステートメント 以降の文形式を使用してバイナリログに書き込まれます。この文は、 LIMIT句を使用するため安全ではありません。含まれている行セットが を予測できないため、これは安全ではありません。声明：しばらくして、MySQLのサービスは再起動を取得しているようです

option_id LIMIT BY option_name LIKE 'ジェットパックの\ _nonce \ _％' AND CAST 1476340372 <（ option_value UNSIGNED AS）ORDER wp_generic_options。DELETE FROMが、その後失敗し、次の行は、エラーログにあります

InnoDB: Initializing buffer pool, size = 256.0M 
InnoDB: mmap(281542656 bytes) failed; errno 12 
InnoDB: Cannot allocate memory for the buffer pool 
Plugin 'InnoDB' init function returned error. 
Plugin 'InnoDB' registration as a STORAGE ENGINE failed. 
Unknown/unsupported storage engine: InnoDB 
Aborting 

誰かが何が起こっているのか私に説明していただけますか？それを止めて、それが再び起こるのを防ぐ方法は？

Answer 1

IPアドレス139.196.28.237のジオロケーションは、それが杭州、中国から由来していると報告しています。 MySQLクライアントがあなたのMySQLインスタンスに接続したときに起きると予想されるのはどこですか？そうでない場合は、外部の攻撃者がいる可能性があります。おそらく、外部クライアントがあなたのMySQLサーバにアクセスすることを許してはいけません。外部リクエストからMySQLのポートをブロックするには、ファイアウォールが必要です。

binlogの危険なステートメントに関する警告メッセージは無関係かもしれません。私はjetpackが普及しているWordPressプラグインであり、SQLクエリーがjetpackのコードの通常の部分であるかもしれないことを思い出してください。 MySQL binlog形式をMIXEDまたはROWに変更することによって、これらの警告を修正できます。安全でないステートメントの詳細については、https://dev.mysql.com/doc/refman/5.7/en/replication-rbr-safe-unsafe.html

バッファプールに256 MBのメモリが割り当てられなかったというエラーは、サーバ上のプロセスがサーバより多くのメモリを使用していることを示しています。 InnoDBは、物理メモリが利用可能でない限り（すでにスワッピング中のメモリを割り当てない場合）、メモリを割り当てません。これはまた、試行されたログインとは無関係かもしれません。サーバーのメモリを増やす必要があります。 AWSを使用している場合は、インスタンスのサイズを大きくする必要があります。