由于某种原因,我无法让 CSF 的 LFD (/etc/csf/csf.pignore) 忽略amavisd-new通过 perl 运行。守护进程通过运行,/usr/bin/perl /usr/sbin/amavisd-new (some mode)但是当我使用基于正则表达式时pcmd:,LFD 似乎不会忽略它。LFD 和/或与 一起使用的正则表达式是否存在pcmd:我无法理解的问题?我使用过的其他东西pcmd:都运行良好。我不想忽略 amavis 用户,也不想忽略 perl。我正在使用 重新加载更改csf -ra。
我尝试过各种方法:
pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.*
pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.*
pcmd:.*\s/usr/sbin/amavisd-new\s.*
pcmd:.*/usr/sbin/amavisd-new.*
pcmd:.*/usr/sbin/amavis.*
CSF:Ubuntu 16.04.1 上的 v9.24(通用)-x86_64
Executable: /usr/bin/perl
Command Line (often faked in exploits): /usr/sbin/amavisd-new (master)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail)
Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch4-avail)
答案1
尽量不要使用正则表达式。只需这样做
exe:/usr/sbin/amavisd-new
在 csf.pignore 中查看会发生什么。根据他们的论坛,这是 perl 守护进程的解决方法。他们承认这不清楚,因为他们的 lfd 警报说的是不同的可执行文件(即 perl)。
答案2
如果 CSF 的 LFD 没有忽略您的流程,可能有很多原因。这篇博客文章提到了很多因素和解决方案。
总结:
- 重新启动 CSF 和 LFD,而不仅仅是 CSF (
sudo service lfd restart) - 不要使用内联注释(在你的情况下看起来不错)
- 检查 RegEx 语法(对于你的情况来说也很好)
- 检查您的系统和副作用(日志、更新、文件格式......)