Acabei de instalar o csf + lfd no meu servidor em nuvem rackspace (uma pilha LAMP vanilla executando o centos 6.7). Ajustei apenas algumas configurações no csf.confarquivo padrão: as portas permitidas em TCP_INe e TCP6_IN, em seguida, configurei RESTRICT_SYSLOGcomo 3. Eu também configurei TESTINGpara 0. Em seguida, instalei o csf+lfd como um serviço:
chkconfig --level 235 csf on
service csf restart
O ímpeto para configurar o csf+lfd em primeiro lugar foi combater ataques a um site Wordpress neste servidor. O bot estava tentando usar força bruta por meio do arquivo xmlrpc.php. Primeiro de tudo, neguei acesso a este arquivo globalmente no Apache via:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
Isso parece funcionar bem. Posso ver linhas no log de erros do Apache como:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
Mas há um bot vindo de um endereço IP específico que acessa o URL xmlrpc.php a cada segundo, durante cerca de uma hora por vez. Eu esperava que o csf+lfd notasse e adicionasse o endereço IP à lista de negações, mas isso não aconteceu. Eu tenho o log de erros do Apache na seção de locais do arquivo de log do csf.confarquivo:
HTACCESS_LOG = "/var/log/httpd/error_log"
E no log de erros do Apache, eu tinha cerca de 3.600 entradas para aquele IP tentando acessar xmlrpc.php ao longo de uma hora. No entanto, o csf+lfd não percebeu isso.
Sendo um novato, tenho certeza de que está faltando algo simples aqui. Qualquer ajuda muito apreciada.