pessoal, qual é a configuração do CSF que faz com que bloqueio o IP após diversas tentativas de login sem sucesso?

Acho que é isso cPHulk Brute Force Protection

mas tem no CSF tb, não?

Sim tem procure por LF_CPANEL

O correto seria LF_DAEMON, se ele estiver ativo, irá ficar OK..

Só depois configure a quantidade de tentativas pra cada tipo de serviço, como POP3, FTP, autenticação HTTP, etc.

Verdade.

Sim está tivo.

Poderiam me dizer algo sobre este log:

Mar  1 05:06:01 ... lfd[1848]: *Suspicious File* /tmp/wolf.txt [xxx:xxx(507:505)] - Script, starts with #!

Mar  1 05:11:05 ... lfd[2273]: *Suspicious File* /tmp/.ICE-unix/Yahoo.txt [xxx:xxx(507:505)] - Script, starts with #!

Este diretório /temp serve pra que?

Aparentemente são 2 arquivos maliciosos que estão tentando rodar no teu servidor.

No CSF habilite a opção LF_DIRWATCH_DISABLE. O default é 0, então mude para 1.

E se você ainda não tiver o Maldet instalado no teu servidor, instale urgentemente e rode ele na /tmp e na /home de teu servidor.

Analise bem os resultados e remova qualquer shell ou malware que encontrar.

Habilitei!

Ixi, eu habilitei, depois fui procurar o arquivo não tá mais lá...o CSF remove?