Назад | Перейти на главную страницу

/ usr / sbin / amavisd-new - почему pcmd / regex не работает для этой команды в csf.pignore?

По какой-то причине я не могу заставить CSF LFD (/etc/csf/csf.pignore) игнорировать amavisd-new работает через perl. Демон запускается через /usr/bin/perl /usr/sbin/amavisd-new (some mode) однако кажется, что когда я использую регулярное выражение на основе pcmd:, LFD не проигнорирует это. Что-то не так с LFD и / или регулярным выражением, используемым с pcmd: что я не понимаю? Другой материал, с которым я работал pcmd: работал нормально. Я не хочу игнорировать пользователя amavis или perl. Я перезагружаю изменения с помощью csf -ra.

Я пробовал разными способами:

pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*\s/usr/sbin/amavisd-new\s.*
pcmd:.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/sbin/amavis.*

CSF: v9.24 (общий) в Ubuntu 16.04.1 - x86_64

Executable: /usr/bin/perl
Command Line (often faked in exploits): /usr/sbin/amavisd-new (master)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch4-avail)

Старайтесь не использовать регулярное выражение. Просто сделать

exe:/usr/sbin/amavisd-new

в csf.pignore и посмотрим, что произойдет. Согласно их форумам, это путь для демонов Perl. Они признают, что это неясно, поскольку их аварийный сигнал lfd говорит о другом исполняемом файле (например, Perl).