[Tutorial] Motivos dos bloqueios de IP - CSF

[Vitor Morais]

Olá amigos, sou novo no fórum e vim para somar. Irei nesse tutorial informar os motivos de cada bloqueio (é bastante simples mas acredito que tem gente que não saiba).

 

[LF_CPANEL]: IP bloqueado devido a falhas de login do cPanel. O número máximo de tentativas e a duração é indicada nas configurações de firewall. Exemplo do erro apresentado:

 

====

(cpanel) Failed cPanel login from x.x.x.x (CA/Canada/bas7-sudbury98-1096760400.dsl.bell.ca): 5 in the last 300 secs – *Blocked in csf* [LF_CPANEL]

====

No exemplo citado, 5 tentativas de login no cPanel em 300 segundos.

 

[LF_FTPD]: IP bloqueado devido a falhas de login ao FTP. O número máximo de tentativas e a duração é indicada nas configurações do firewall. Exemplo do erro apresentado:

 

====

(ftpd) Failed FTP login from x.x.x.x (NL/Netherlands/541f4283.cm-5-8b.dynamic.ziggo.nl): 10 in the last 300 secs – *Blocked in csf* [LF_FTPD]

====

No exemplo citado, 10 tentativas de login ao FTP em 300 segundos.

 

[LF_POP3D]: IP bloqueado devido a falha de tentativas de login POP3. O seguinte erro será apresentado::

 

====

pop3d – 61 logins in 2990 secs from x.x.x.x (AU/Australia/-) for example@yourmail.com exceeds 60/hour – *Blocked in csf* for 610 secs [LT_POP3D]

====

No exemplo citado, 61 tentativas de login em 2990 segundos no e-mail [email protected] excendendo o limite de 60 logins por hora.

 

[CT_LIMIT]:  IP está bloqueado devido a número excessivo de conexões. O endereço IP é bloqueado temporariamente para um intervalo de tempo específico.

 

====

(CT) IP x.x.x.x (AU/Australia/CPE-58-165-216-228.nsw.bigpond.net.au) found to have 79 connections – *Blocked in csf* for 900 secs

====

No exemplo citado, 79 conexões em 900 segundos.

 

[PS_LIMIT]:  IP está bloqueado devido ao excesso de geração de bloqueio de portas.

 

====

*Port Scan* detected from x.x.x.x (BE/Belgium/d51A54121.access.telenet.be). 11 hits in the last 268 seconds – *Blocked in csf* for 3600 secs [PS_LIMIT]

====

Port Scan acompanha bloqueio de portas registrados pelo iptables para o syslog. Se um endereço IP gera um bloqueio de porta maior que o limite em segundos, o endereço IP será bloqueado.

 

Bom pessoal, peguei informações do próprio fórum do cPanel. Espero ter ajudado e até a próxima  :D

[Jamis Henrique]

Eu acho que as configurações oferecidas pelo CSF para monitoramento não são muito vantajosas para servidores menos robustos, esse monitoramento realiza o consumo de muitos recursos do servidor de uma forma desnecessária (não totalmente). Eu prefiro ativá-los quando suspeito que o servidor está sob algum tipo de ataque, para ver se ajuda um pouco, porém acaba ficando lento do mesmo jeito, só que de forma estável, tendo em vista que o número de IPs bloqueados influencia, nesses casos, o desempenho do servidor.