In de afgelopen week hebben websites op mijn server er meerdere keren uit gelegen. De server zelf was nog wel online, echter is de mySQL er meerdere keren uitgeklapt. Tevens krijg ik sinds afgelopen week ook vaak meldingen van brute force attacks, bijvoorbeeld:
"User root has 107 failed login attempts: proftpd1=21&sshd5=86"

Heeft iemand enig idee wat ik kan doen om dit in de toekomst te voorkomen?

Mij is altijd geleerd dat bruteforce aanvallen meer dan normaal zijn op een server, maakt het niet minder leuk natuurlijk, maar dit zijn meestal botjes die ip-adressen afgaan en hierop wat pogingen doet.
Wat je kan doen is je SSH van poort 22 af halen, open wel eerst de nieuwe poort in je firewall anders kom je er zelf ook niet meer in!

Veel van die botjes gebruiken standaard poort 22, als deze niet gevonden of geopend kan worden negeren ze je server vrijwel direct.

Erik, bedankt voor je reactie.
Van Brute force attacks heb ik inderdaad wel vaker last, maar ik heb nog nooit meegemaakt dat mijn MySQL er dan mee stopt. Ik weet ook niet zeker of ik een verband kan leggen tussen de Brute force attacks en het stoppen van de MySQL, maar aangezien deze beide in dezelfde periode gebeuren lijkt mij dit zo goed als zeker. Die BFC's kunnen mij niet zoveel schelen, wat voor mij eigenlijk het belangrijkste is, is dat de MySQL server goed blijft lopen en hierdoor mijn websites er niet uit komen te liggen. Om uit te sluiten dat ik nu in de juiste richting zoek, kan er een verband liggen tussen de BFC's en het stoppen van de MySQL? En hoe kan ik mijn MySQL dan beschermen?

Hele stomme vraag maar draai je toevallig WordPress, of andere CMS systemen onder Apache ?

blokkeer ip na bv 5 mislukte logins, zijn tools voor

Ik beheer ook een aantal servers en er zijn regelmatig brute-force attacks aan de gang op de mysql server.
Een "failed login" is dus het gewenste resultaat. :)

Het lijkt mij eigenlijk sterk dat dit er voor zorgt dat je mysql server eruit klapt en ik denk dat je de oorzaak ergens anders moet zoeken.

@Erik Kraijenoord:
Ik heb een aantal websites met Wordpress draaien, echter zijn deze klein en hebben niet meer dan 50 bezoekers per dag (in totaal). Verder één Magento installatie en een aantal Opencart installaties. Er zit ook een systeem in welke d.m.v. cronjobs feeds inlaadt voor een webshop. De rest is allemaal zelf gemaakt en hebben zo'n 1000-1500 bezoekers per dag.

@Stijn:
Er zijn al meerdere ip-adressen geconstateerd.

@Wilbert:
Op andere servers heb ik hier ook nooit geen problemen mee gehad, een Brute force attack deed me dan ook niet zoveel. Maar nu mijn MySQL al 3 keer in 1 week is gestopt doet het me wel veel. Na een tijdje Googelen kan ik ook geen relatie vinden tussen een BFA en de mySQL server die eruit klapt. Zal ik nu een uniek geval zijn of is het puur toeval dat dit tegelijk voorkomt..

Check je mysql logs. Kunnen verschillende dingen zijn van teveel foutieve logins tot en met een memory error/bug.

Ik denk dat je bruto force attacks los staat van het probleem met mysql.
Om de bruto force aanvallen in de toekomst te voorkomen kun je CSF installeren.
Ook is het verstandig SSH beter te beveiligen, zou overleggen met je huidige provider hierover.

Zoals John zegt kijk in je mysql logs of monitor je mysql en kijk of er hoge pieken zijn, wat je ook zou kunnen proberen is mysql tuner.

Een paar dingen die je kan overwegen:

- als alleen jij SSH gebruikt, jouw IP whitelisten voor SSH, voor de rest de poort blokkeren
- SQL poort dichtgooien voor buitenaf en als er wel connecties doormoeten deze ook puur op IP whitelisten

Je SQL kan ermee stoppen als de load te hoog wordt trouwens.

Bedankt voor jullie reacties. Een internet beveiligingsexpert heeft uitgesloten dat de uitval van MySQL door de Brute force attacks veroorzaakt worden.
Het gekke is dat ik in mijn MySQL logs ook helemaal geen gekke dingen tegenkom.

@Geertjan Bedankt voor je reactie, Ik zal eerst MySQL tuner gaan proberen. Ik kende MySQL tuner al een tijdje alszijnde database optimaliseerder. Weet jij of er risico zit in het optimaliseren van de database met MySQL tuner? Of zal deze enkel defragmenteren/optimaliseren en kan er niets verwijderd worden?

Als ik hierna last blijven houden zal ik overwegen om mijn MySQL te gaan monitoren, nog nooit eerder gedaan dus zal eerst wat tijd in gaan zitten om me geheel hier in te verdiepen.

mysqltuner doet totaal niks aan je db, behalve je wat stats laten zijn die je in phpmyadmin ook ziet.
de voorstellen voor de aanpassingen zijn vaak redelijk, maar moet je wel met beleid doen.