Tiago Matos Posted March 1, 2012 Share Posted March 1, 2012 Olá Pessoal, Tenho recebido diariamente e-mail do servidor com este título. Olha o conteúdo da mensagem: 5 failed login attempts to account paralerepensar (system) -- Large number of attempts from this IP: 200.118.72.179 Reverse DNS: Dynamic-IP-cr20011872179.cable.net.co Origin Country: Colombia (CO) To blacklist this ip click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.72.179 To blacklist this /24 click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.72.0/24 To blacklist this /16 click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.0.0/16 Recebo certa de 500 e-mails por dia. Parece que o sistema não está conseguindo bannir os ataques. Eu uso Cpanel + CSF e nas configs do CSF # [*]Enable login failure detection of cpanel, webmail and whm connections LF_CPANEL = Default: 5 LF_CPANEL_PERM = Default: 1 Alguma sugestão para que isso não ocorra? Link to comment Share on other sites More sharing options...
Pedro Sodre Posted March 1, 2012 Share Posted March 1, 2012 Acredito que: ou o csf não está funcionando por causa de algum módulo, ou está mal configurado. O servidor é VPS ou dedicado? Teste os módulos com o ' perl /etc/csf/csftest.pl ' e poste o resultado. Link to comment Share on other sites More sharing options...
Tiago Matos Posted March 1, 2012 Author Share Posted March 1, 2012 Dedicado! # perl /etc/csf/csftest.pl Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server Link to comment Share on other sites More sharing options...
Tiago Matos Posted March 1, 2012 Author Share Posted March 1, 2012 Em alguns casos o csf está funcionando, veja a linha Mar 1 06:34:27 ... (ftpd) Failed FTP login from 177.99.44.181 (BR/Brazil/177.99.44.dynamic.adsl.gvt.net.br): 10 in the last 300 secs - *Blocked in csf* [LF_FTPD] Link to comment Share on other sites More sharing options...
avonni Posted March 1, 2012 Share Posted March 1, 2012 tm, esse e-mail que você está recebendo é do cPHulk, não? Confira atentamente. Se for utilizar o login failure detection do CSF, você pode desabilitar o cPHulk. Link to comment Share on other sites More sharing options...
Pedro Sodre Posted March 1, 2012 Share Posted March 1, 2012 Tente ajustar as configuraçãos pelas pré definidas que tem no csf e selecione o High e mantenha-me informado. Link to comment Share on other sites More sharing options...
Tiago Matos Posted March 1, 2012 Author Share Posted March 1, 2012 tm, esse e-mail que você está recebendo é do cPHulk, não? Confira atentamente. Se for utilizar o login failure detection do CSF, você pode desabilitar o cPHulk. Será que usando os dois ele dá pani? O que não entendi é que no CSF está setado como 3, e como pode um usuário tentar 5 vezes? Na terceira teria que bloquear, já não? Tente ajustar as configuraçãos pelas pré definidas que tem no csf e selecione o High e mantenha-me informado. Velhão, eu não entendi...explica ai na boa! Link to comment Share on other sites More sharing options...
Pedro Sodre Posted March 1, 2012 Share Posted March 1, 2012 Explico com o maior prazer, mas só ás 13:00, pois esc, escrevo pelo celular. Link to comment Share on other sites More sharing options...
avonni Posted March 1, 2012 Share Posted March 1, 2012 tm, pelo que você postou anteriormente tanto o CSF quanto o cPHulk estão configurados pra bloquear com 5 tentativas. Veja: 5 failed login attempts to account paralerepensar (system) LF_CPANEL = Default: 5 Veja se é isto mesmo e faça um teste com o cPHulk desativado. Se o CSF continuar bloqueando, você poderá manter assim a configuração. Link to comment Share on other sites More sharing options...
Tiago Matos Posted March 1, 2012 Author Share Posted March 1, 2012 tm, pelo que você postou anteriormente tanto o CSF quanto o cPHulk estão configurados pra bloquear com 5 tentativas. Veja: Veja se é isto mesmo e faça um teste com o cPHulk desativado. Se o CSF continuar bloqueando, você poderá manter assim a configuração. Desculpe cara, eu postei o valor default...o correto é assim: LF_CPANEL = 3 LF_CPANEL_PERM = 1 Link to comment Share on other sites More sharing options...
Recommended Posts