CSF + LFD não está bloqueando a força bruta em xmlrpc.php no site Wordpress

1

Acabei de instalar o csf + lfd no meu servidor cloud rackspace (uma pilha LAMP vanilla executando centos 6.7). Eu só ajustei algumas configurações no arquivo csf.conf padrão: as portas permitidas em TCP_IN e TCP6_IN e, em seguida, defina RESTRICT_SYSLOG para 3 . Eu também defino TESTING para 0 . Eu então instalei o csf + lfd como um serviço:

chkconfig --level 235 csf on
service csf restart

O ímpeto para configurar o csf + lfd em primeiro lugar foi para combater ataques em um site Wordpress neste servidor. O bot estava tentando forçar a força bruta através do arquivo xmlrpc.php. Primeiro de tudo, eu neguei acesso a este arquivo globalmente no Apache via:

<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
    Order Deny,Allow
    Deny from all
</FilesMatch>

Isso parece funcionar bem. Eu posso ver linhas no log de erros do Apache como:

[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php

Mas há um bot vindo de um determinado endereço IP que acessa o URL xmlrpc.php a cada segundo por uma hora ou mais de cada vez. Eu estava esperando que o csf + lfd notasse e adicionasse o endereço IP à lista de negação, mas isso não foi feito. Eu tenho o log de erro do Apache na seção de locais de arquivo de log do arquivo csf.conf :

HTACCESS_LOG = "/var/log/httpd/error_log"

E no log de erros do Apache, eu tinha cerca de 3600 entradas para aquele IP tentando acessar xmlrpc.php ao longo de uma hora. No entanto, o csf + lfd não percebeu isso.

Sendo um novato, tenho certeza de que é algo simples que sinto falta aqui. Qualquer ajuda muito apreciada.

    
por bhu Boue vidya 24.08.2015 / 07:46

0 respostas