Large Number Of Failed Login Attempts From

[Tiago Matos]

Olá Pessoal,

Tenho recebido diariamente e-mail do servidor com este título. Olha o conteúdo da mensagem:

5 failed login attempts to account paralerepensar (system) -- Large number of attempts from this IP: 200.118.72.179

Reverse DNS: Dynamic-IP-cr20011872179.cable.net.co

Origin Country: Colombia (CO)

To blacklist this ip click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.72.179

To blacklist this /24 click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.72.0/24

To blacklist this /16 click: https://w3host05.w3host05.com.br:2087/cgi/bl.cgi?ip=200.118.0.0/16

Recebo certa de 500 e-mails por dia. Parece que o sistema não está conseguindo bannir os ataques.

Eu uso Cpanel + CSF e nas configs do CSF

# [*]Enable login failure detection of cpanel, webmail and whm connections

LF_CPANEL = Default: 5

LF_CPANEL_PERM = Default: 1

Alguma sugestão para que isso não ocorra?

[Pedro Sodre]

Acredito que: ou o csf não está funcionando por causa de algum módulo, ou está mal configurado.

O servidor é VPS ou dedicado? Teste os módulos com o ' perl /etc/csf/csftest.pl ' e poste o resultado.

[Tiago Matos]

Dedicado!

# perl /etc/csf/csftest.pl

Testing ip_tables/iptable_filter...OK

Testing ipt_LOG...OK

Testing ipt_multiport/xt_multiport...OK

Testing ipt_REJECT...OK

Testing ipt_state/xt_state...OK

Testing ipt_limit/xt_limit...OK

Testing ipt_recent...OK

Testing xt_connlimit...OK

Testing ipt_owner/xt_owner...OK

Testing iptable_nat/ipt_REDIRECT...OK

Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

[Tiago Matos]

Em alguns casos o csf está funcionando, veja a linha

Mar  1 06:34:27 ... (ftpd) Failed FTP login from 177.99.44.181 (BR/Brazil/177.99.44.dynamic.adsl.gvt.net.br): 10 in the last 300 secs - *Blocked in csf* [LF_FTPD]

[avonni]

tm, esse e-mail que você está recebendo é do cPHulk, não?

Confira atentamente.

Se for utilizar o login failure detection do CSF, você pode desabilitar o cPHulk.

[Pedro Sodre]

Tente ajustar as configuraçãos pelas pré definidas que tem no csf e selecione o High e mantenha-me informado.

[Tiago Matos]

tm, esse e-mail que você está recebendo é do cPHulk, não?

Confira atentamente.

Se for utilizar o login failure detection do CSF, você pode desabilitar o cPHulk.

Será que usando os dois ele dá pani?

O que não entendi é que no CSF está setado como 3, e como pode um usuário tentar 5 vezes? Na terceira teria que bloquear, já não?

Tente ajustar as configuraçãos pelas pré definidas que tem no csf e selecione o High e mantenha-me informado.

Velhão, eu não entendi...explica ai na boa!

[Pedro Sodre]

Explico com o maior prazer, mas só ás 13:00, pois esc, escrevo pelo celular.

[avonni]

tm, pelo que você postou anteriormente tanto o CSF quanto o cPHulk estão configurados pra bloquear com 5 tentativas. Veja:

5 failed login attempts to account paralerepensar (system)

LF_CPANEL = Default: 5

Veja se é isto mesmo e faça um teste com o cPHulk desativado.

Se o CSF continuar bloqueando, você poderá manter assim a configuração.

[Tiago Matos]

tm, pelo que você postou anteriormente tanto o CSF quanto o cPHulk estão configurados pra bloquear com 5 tentativas. Veja:

Veja se é isto mesmo e faça um teste com o cPHulk desativado.

Se o CSF continuar bloqueando, você poderá manter assim a configuração.

Desculpe cara, eu postei o valor default...o correto é assim:

LF_CPANEL = 3

LF_CPANEL_PERM = 1