我刚刚在我的 rackspace 云服务器(运行 centos 6.7 的 vanilla LAMP 堆栈)上安装了 csf+lfd。我只在默认文件中调整了几个设置:允许进入和的csf.conf端口,然后设置为。我还设置为。然后我将 csf+lfd 安装为服务:TCP_INTCP6_INRESTRICT_SYSLOG3TESTING0
chkconfig --level 235 csf on
service csf restart
最初设置 csf+lfd 的动机是为了应对针对此服务器上的 Wordpress 站点的攻击。该机器人试图通过 xmlrpc.php 文件进行暴力破解。首先,我通过以下方式在 Apache 中全局拒绝对此文件的访问:
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
这似乎很有效。我可以在 Apache 错误日志中看到如下行:
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
但是有一个来自特定 IP 地址的机器人每秒都会访问 xmlrpc.php URL,每次持续一小时左右。我希望 csf+lfd 会注意到并将 IP 地址添加到拒绝列表中,但它没有这样做。我在文件的日志文件位置部分有 Apache 错误日志csf.conf:
HTACCESS_LOG = "/var/log/httpd/error_log"
在 Apache 错误日志中,我在一个小时内发现了大约 3600 条该 IP 尝试访问 xmlrpc.php 的条目。然而 csf+lfd 没有发现这些条目。
作为一个新手,我确信我遗漏了一些简单的东西。任何帮助都非常感谢。