Para desbloqueá-los manualmente, você precisa alterar o "adicionar" para "excluir", para excluir as regras anteriores seria:
/var/ossec/active-response/bin/host-deny.sh delete - 188.163.238.252 1328614852.61546 5712
/var/ossec/active-response/bin/firewall-drop.sh delete - 188.163.238.252 1328614852.61546 5712
Às vezes, as regras são rígidas ou não são rigorosas o suficiente. Você pode querer mudar alguma coisa ou adicionar algo a si mesmo. Isso pode ser feito no arquivo local_rules.xml. Sugira que queremos aumentar o tresshold do login com falha na autenticação http do apache2. Se olharmos para o apache_rules.xml, vemos várias regras. O interessante é:
<rule id="30119" level="12" frequency="6" timeframe="120">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
Para alterar a frequência de 6 para 10, precisamos copiar a regra e colá-la em local_rules.xml. Em seguida, adicionamos um parâmetro overwrite = ”yes” para informar ao OSSEC que ele precisa sobrescrever a regra definida em apache_rules.xml e, em vez disso, usar aquele definido em local_rules.xml. A regra ficaria assim:
<rule id="30119" level="12" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
Se quisermos ignorar completamente essa regra, pois ela não é relevante para nós, alteramos o nível para 0:
<rule id="30119" level="0" frequency="10" timeframe="120" overwrite="yes">
<if_matched_sid>30118</if_matched_sid>
<same_source_ip />
<description>Multiple attempts blocked by Mod Security.</description>
<group>access_denied,</group>
</rule>
Trecho de meu blog responde a essa pergunta.