Роман Мирр, Дело в том, что доступ иногда нужен и клиентам. А им не объяснишь, как пользоваться SSH и что есть что-то помимо PMA для управления базой. edo1h, спасибо, Ваша идея в общем и привела к решению
Господа, всем огромное спасибо за идеи и участие. Проблема действительно оказалась именно в интерфейсе phpmyadmin который доступен снаружи при этом допускает ограниченное количество попыток ввода пароля.
Т.е. по сути пытаются подобрать пароль к базе для каждого сайта по отдельности, подставляя домен в качестве логина или если не базу сайта, то ставят логин admin, admin2 и прочее. Самое забавное, что пока даже логин ни разу существующий не встретился в логах. Так что думаю до подбора первой пары логин+пароль не то, что я, а планета не доживёт :-)
P.S.
Подскажите, как вопрос отметить решенным?
Кажется я понял, что происходит. В Апачевом конфиге для Phpmyadmin ничего не написано про логи. А значит если кто-то ломится через него, я в логах апача ничего не увижу. Сейчас пытаюсь понять, как дописать в конфиги сбор логов для phpmyadmin. Не совсем понятно, куда вписывать пути к лог-файлам ибо это не отдельный virtualhost. Сейчас почему-то в error.log пишутся общие серверные логи, а вот пробная попытка зайти с левой учеткой через phpmyadmin не зафиксировалась.
Сейчас прогнал проверку rkhunter - ничего интересного он не нашел. поругался только на то, что не с чем сравнивать passwd.
Потом прошелся grep'ом по всем файлам какие нашлись в /var/www, нашел кучу словарей. Обрадовался, а оказалось, что битрикс зачем-то "из коробки" держит файлы со словарями (bitrix/modules/perfmon/admin/perfmon_tables.php). Зачем?..
Писать программу чтобы слушала 3306 порт - странное решение. Ведь порт уже занят. Да и IP адрес я и так знаю - 127.0.0.1 ибо снаружи уже несколько раз проверил - закрыт порт.
Роман Мирр, Учетка Admin2 не существует вообще. Как и множество других учеток мелькавших в логах. У некоторых клиентов название учетки mysql почти совпадает с названием домена, но не у всех. И в логах я видел попытки подобрать пароль к учетке которая на 100% совпадает с названием домена. Т.е. предполагаю, что тот кто занимается подбором знает не так много о том, куда попал.
А смысл? Я и так вижу строки типа: Jul 26 03:47:13 host2 mysqld: 2020-07-26 3:47:13 140000680802048 [Warning] Access denied for user 'Admin2'@'localhost' (using password: YES)
Просто для вызова клиента mysql из консоли, надо в нее залогиниться, а у нас только 1 учетка под которой можно SSH пользовать и она у меня. Т.е. я в логах не вижу подозрительных входов перед появлением ошибки приведенной выше. По SSH только мои всегда. Значит скрипт. А если так, то надо как-то путь к скрипту найти. Вот как получить подробности хоть в тот-же messages?..
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
edo1h, спасибо, Ваша идея в общем и привела к решению