Как вы можете видеть в извлеченном файле журнала ниже (из /var/log/lfd.log
), lfd преждевременно удаляет временные блоки, которые он накладывает на IP-адреса:
Apr 7 13:07:59 host lfd[32117]: (wordpressxmlrpc) Request of xmlrpc.php. None of our users legitimately use this file. 92.255.223.83 (RU/Russian Federation/92x255x223x83.dynamic.kirov.ertelecom.ru): 1 in the last 300 secs - *Blocked in csf* for 86400 secs [LF_CUSTOMTRIGGER]
[...]
Apr 7 13:19:35 host lfd[7062]: Incoming IP 92.255.223.83:80 temporary block removed
Apr 7 13:19:35 host lfd[7062]: Incoming IP 92.255.223.83:443 temporary block removed
Первая строка показывает, что IP будет заблокирован на 86400 секунд (один день). Однако примерно через 11 минут lfd удаляет временную блокировку. В чем дело?
Если это поможет, соответствующая часть /etc/csf/regex.custom.pm
является:
if (($globlogs{CUSTOM1_LOG}{$lgfile}) and ($line =~ /(\S+).*] "POST \/xmlrpc\.php.*" 200/)) {
return ("Request of xmlrpc.php. None of our users legitimately use this file.",$1,"wordpressxmlrpc","1","80,443","86400");
}
Я считаю, что нашел проблему. Я предполагаю, что IP-адреса заменяются преждевременно из-за DENY_TEMP_IP_LIMIT
. Когда у нас будет более 100 IP-адресов в нашем временном списке запретов (что мы определенно делаем), самые старые IP-адреса будут заменены, чтобы освободить место для новых IP-адресов.