Acabo de instalar csf+lfd en mi servidor en la nube rackspace (una pila LAMP básica que ejecuta centos 6.7). Solo modifiqué un par de configuraciones en el csf.confarchivo predeterminado: los puertos permitidos TCP_INy TCP6_IN, y luego los configuré RESTRICT_SYSLOGen 3. También me puse TESTINGa 0. Luego instalé csf+lfd como servicio:
chkconfig --level 235 csf on
service csf restart
El primer motivo para crear csf+lfd fue contrarrestar los ataques a un sitio Wordpress en este servidor. El robot estaba intentando aplicar fuerza bruta a través del archivo xmlrpc.php. En primer lugar, negué el acceso a este archivo globalmente en Apache a través de:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
Esto parece funcionar bien. Puedo ver líneas en el registro de errores de Apache como:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
Pero hay un robot proveniente de una dirección IP particular que accede a la URL xmlrpc.php cada segundo durante aproximadamente una hora a la vez. Esperaba que csf+lfd se diera cuenta y agregara la dirección IP a la lista de denegación, pero no lo hizo. Tengo el registro de errores de Apache en la sección de ubicaciones del archivo de registro del csf.confarchivo:
HTACCESS_LOG = "/var/log/httpd/error_log"
Y en el registro de errores de Apache, tenía alrededor de 3600 entradas para esa IP intentando acceder a xmlrpc.php en el transcurso de una hora. Sin embargo, csf+lfd no captó eso.
Siendo novato, estoy seguro de que es algo simple lo que me falta aquí. Cualquier ayuda es muy apreciada.