Брут MySQL сервера: mysqld: [Warning] access denied for user 'xxxxxx'@xx.xx.xx.xx стоит ли переживать?

Question

[Евгений]

Периодически, в системном логе вижу записи такого характера:
mysqld: 2019.05.11 12:00:00 1200 [Warning] access denied for user 'xxxxxx'@xx.xx.xx.xx (using password: YES)
Вот скриншот:

Я так понимаю, этот кто-то брутит mysql сервер?
Стоит ли из-за этого переживать? И надо ли принимать какие-то меры?

Answer 1

[Иван Шумов]

Стоит не переживать, а найти того кто открыл на весь мир порт MySQL. За это сейчас люди работу теряют)

Answer 2

[Евгений]

Всем спасибо за ответы.
Насколько я понимаю, смотреть MySQL-серверу наружу необходимости нет, так как сайт и MySQL-серверу находятся на одном физическом сервере. Буду закрывать.

fail2ban стоит, но что-то начал сомневаться в адекватности его работы, если так много не успешных попыток подключения с одного IP.

Comments

[AUser0]

А он вообще настроен на анализ логов MySQL, и соответствующую реакцию? Проверяйте...

[Евгений]

Хороший вопрос. Надо проверять.
Настраивал все это не я..

Answer 3

[Dimonchik]

стоит

если открыт наружу и нашли нестандартный порт ( он ведь у тебя нестандартный?
и наружу есть необходимость непреодолимая?
) то надо срочно менять

Answer 4

[Георг Гаал]

Для начала надо понять - а есть ли необходимость держать mysql сервер открытым на весь интернет. Это плохая практика. Что можно сделать ? Если нужно - закрыть файрволлом по белому списку IP. Закрыть VPNом.

Answer 5

[Rsa97]

Как минимум, стоит поставить fail2ban.
А лучше запретить MySQL-серверу смотреть наружу.

Comments

[Евгений]

в конфиге mysql указано bind-address = 127.0.0.1
Эта строка закрывает доступ из вне? Верно?
fail2ban установлен, но что-то он не реагирует...