sudo cat /var/log/mysql/error.err | egrep '[aA]ccess denied'
https://serverfault.com/a/455610
Добавлено
Надо, собственно, отключить этот сервер от продакшена, от греха подальше и на нём проводить эксперименты. А для продакшена подготовить свежеустановленную ОС с более серьезным подходом к защите.
Если есть спортивный интерес обнаружить зловред, то:
- вместо действительного MySQL запустить программу-приманку.
https://github.com/sjinks/mysql-honeypotd - далее, можно установить atop, acct:
sudo apt install acct atop
atop собирает информацию о производительности системы и запускаемых процессах
acct ведет мониторинг активности пользователей (в частности, sa выводит список процессов)
https://haydenjames.io/use-atop-linux-server-perfo...
https://www.tecmint.com/how-to-monitor-user-activi...
соберет статистику за полдня-день и тогда можно анализировать историю так:atop -r /var/log/atop/atop_20200729
- Если не хватит, то у меня появилась такая идея: можно написать программу. Она может слушать на порту 3306 и регистрировать IP адрес и также узнавать номер процесса клиента, по которому можно узнать и путь и от какого пользователя запущен.
Узнать номер процесса по прослушиваемому портуsudo lsof -i :2345
Узнать что за пользователь и откуда запускается
ls -l /proc/6726/exe pwdx 6726