root system et root db c'est pas vraiment pareil.
root db doit avoir un password différent de root system,
Et, allow root db connection only from localhost.
(il faudrait trouver un principe qui lock le login Shell from localhost après X logins fails & send mail. Il faudrait que ça soit intégré à mysql par contre).
Par contre, après tu peux déjà parse les logs et send mail après un login fail.
Ça te permettra de disconnect all root and change password for root sys.
Mais bon voilà voilà il faut penser à faire perdre du temps à l'attaquant pour que tu puisse l'expulser avant trop de dégâts.
Dans tous les cas si root corrompu, save tes data et formate. 🙏