По какой-то причине я не могу заставить CSF LFD (/etc/csf/csf.pignore) игнорировать amavisd-new
работает через perl. Демон запускается через /usr/bin/perl /usr/sbin/amavisd-new (some mode)
однако кажется, что когда я использую регулярное выражение на основе pcmd:
, LFD не проигнорирует это. Что-то не так с LFD и / или регулярным выражением, используемым с pcmd:
что я не понимаю? Другой материал, с которым я работал pcmd:
работал нормально. Я не хочу игнорировать пользователя amavis или perl. Я перезагружаю изменения с помощью csf -ra
.
Я пробовал разными способами:
pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*\s/usr/sbin/amavisd-new\s.*
pcmd:.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/sbin/amavis.*
CSF: v9.24 (общий) в Ubuntu 16.04.1 - x86_64
Executable: /usr/bin/perl
Command Line (often faked in exploits): /usr/sbin/amavisd-new (master)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch4-avail)
Старайтесь не использовать регулярное выражение. Просто сделать
exe:/usr/sbin/amavisd-new
в csf.pignore и посмотрим, что произойдет. Согласно их форумам, это путь для демонов Perl. Они признают, что это неясно, поскольку их аварийный сигнал lfd говорит о другом исполняемом файле (например, Perl).