Ich habe gerade csf+lfd auf meinem Rackspace-Cloud-Server installiert (ein Vanilla-LAMP-Stack mit CentOS 6.7). Ich habe nur ein paar Einstellungen in der Standarddatei optimiert : die in und csf.confzulässigen Ports und dann auf eingestellt . Ich habe auch auf eingestellt . Dann habe ich csf+lfd als Dienst installiert:TCP_INTCP6_INRESTRICT_SYSLOG3TESTING0
chkconfig --level 235 csf on
service csf restart
Der Anstoß für die Einrichtung von csf+lfd war zunächst, Angriffe auf eine Wordpress-Site auf diesem Server abzuwehren. Der Bot versuchte, mit Brute Force über die Datei xmlrpc.php zu gelangen. Zunächst habe ich den Zugriff auf diese Datei global in Apache verweigert, und zwar über:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
Das scheint gut zu funktionieren. Ich kann Zeilen im Apache-Fehlerprotokoll sehen wie:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
Aber es gibt einen Bot von einer bestimmten IP-Adresse, der die URL xmlrpc.php etwa eine Stunde lang jede Sekunde anruft. Ich hatte gehofft, dass csf+lfd dies bemerkt und die IP-Adresse zur Sperrliste hinzufügt, aber das ist nicht passiert. Ich habe das Apache-Fehlerprotokoll im Abschnitt „Speicherorte der Protokolldatei“ der csf.confDatei:
HTACCESS_LOG = "/var/log/httpd/error_log"
Und im Apache-Fehlerprotokoll hatte ich im Laufe einer Stunde etwa 3600 Einträge für diese IP, die versuchten, auf xmlrpc.php zuzugreifen. Doch csf+lfd hat das nicht erkannt.
Da ich ein Neuling bin, bin ich mir sicher, dass es etwas Einfaches ist, das ich hier übersehe. Jede Hilfe ist sehr willkommen.