Почему lfd преждевременно удаляет блоки?
Как вы можете видеть в извлеченном файле журнала ниже (из / var / log /lfd.log), lfd преждевременно удаляет временные блоки, которые он накладывает на IP-адреса:
Apr 7 13:07:59 host lfd[32117]: (wordpressxmlrpc) Request of xmlrpc.php. None of our users legitimately use this file. 92.255.223.83 (RU/Russian Federation/92x255x223x83.dynamic.kirov.ertelecom.ru): 1 in the last 300 secs - *Blocked in csf* for 86400 secs [LF_CUSTOMTRIGGER]
[...]
Apr 7 13:19:35 host lfd[7062]: Incoming IP 92.255.223.83:80 temporary block removed
Apr 7 13:19:35 host lfd[7062]: Incoming IP 92.255.223.83:443 temporary block removed
Первая строка показывает, что IP-адрес будет заблокирован на 86400 секунд (один день). Однако примерно через 11 минут lfd удаляет временную блокировку. Что происходит?
Если это помогает, соответствующая часть /etc/csf/regex.custom.pm выглядит так:
if (($globlogs{CUSTOM1_LOG}{$lgfile}) and ($line =~ /(\S+).*] "POST \/xmlrpc\.php.*" 200/)) {
return ("Request of xmlrpc.php. None of our users legitimately use this file.",$1,"wordpressxmlrpc","1","80,443","86400");
}
0
задан rinogo
7 April 2016 в 21:28
Ссылка
1 ответ
Кажется, я нашел проблему. Я предполагаю, что IP-адреса заменяются преждевременно из-за DENY_TEMP_IP_LIMIT . Когда у нас будет более 100 IP-адресов в нашем временном списке запретов (что мы определенно делаем), самые старые IP-адреса будут заменены, чтобы освободить место для новых IP-адресов.
0