Una opción es configurar OSSEC (Sistema de detección de intrusiones basado en host):
El conjunto de reglas de mysql predeterminado incluye la comprobación de:
rule-id-50105 Autenticación de la base de datos exitosa.
rule-id-50106 Error de autenticación de la base de datos.
rule-id-50107 Consulta de base de datos.
rule-id-50108 Usuario desconectado de la base de datos.
rule-id-50120 Mensaje de cierre de la base de datos.
rule-id-50121 Mensaje de inicio de la base de datos.
rule-id-50125 Error en la base de datos.
rule-id-50126 Error fatal en la base de datos.
rule-id-50180 Múltiples errores de base de datos.
Las alertas proporcionan parte de la información que desea (por ejemplo, marca de hora, fecha y hora, nombre de usuario). También puede crear fácilmente sus propias reglas OSSEC para capturar más detalles o crear reglas y acciones complejas.
Si tienes gente que se conecta a mysql, ya la has jodido seriamente. Debe cambiar la configuración de su firewall para asegurarse de que solo los hosts de confianza puedan conectarse y nadie más .
Un atacante podría invocar fácilmente una red bot de 1,000,000 de tamaño para forzar a su servidor mysql. Necesita un enfoque de lista blanca para este problema.
Lea otras preguntas en las etiquetas brute-force detection databases logging mysql