Acabei de instalar o csf + lfd no meu servidor cloud rackspace (uma pilha LAMP vanilla executando centos 6.7). Eu só ajustei algumas configurações no arquivo csf.conf
padrão: as portas permitidas em TCP_IN
e TCP6_IN
e, em seguida, defina RESTRICT_SYSLOG
para 3
. Eu também defino TESTING
para 0
. Eu então instalei o csf + lfd como um serviço:
chkconfig --level 235 csf on
service csf restart
O ímpeto para configurar o csf + lfd em primeiro lugar foi para combater ataques em um site Wordpress neste servidor. O bot estava tentando forçar a força bruta através do arquivo xmlrpc.php. Primeiro de tudo, eu neguei acesso a este arquivo globalmente no Apache via:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
Isso parece funcionar bem. Eu posso ver linhas no log de erros do Apache como:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
Mas há um bot vindo de um determinado endereço IP que acessa o URL xmlrpc.php a cada segundo por uma hora ou mais de cada vez. Eu estava esperando que o csf + lfd notasse e adicionasse o endereço IP à lista de negação, mas isso não foi feito. Eu tenho o log de erro do Apache na seção de locais de arquivo de log do arquivo csf.conf
:
HTACCESS_LOG = "/var/log/httpd/error_log"
E no log de erros do Apache, eu tinha cerca de 3600 entradas para aquele IP tentando acessar xmlrpc.php ao longo de uma hora. No entanto, o csf + lfd não percebeu isso.
Sendo um novato, tenho certeza de que é algo simples que sinto falta aqui. Qualquer ajuda muito apreciada.