PDA

Bekijk Volledige Versie : CSF negeert zijn csf.deny



bibawa
26/05/14, 09:52
Ik had de melding in het verleden al eens van een aantal klanten gekregen, maar het toen niet meer kunnen simuleren maar nu zie ik het ook op een WHM server van onszelf.

De server bevat een kale WHM installatie met daarnaast een configserver setup, configserver is actief en de csf.deny wordt ook vrolijk gevuld met IP adressen die gebanned zouden moeten worden, maar dat gebeurt dus niet.

CPHulk stuurt een hoop meldingen van failed login attempts van een bepaald ip, als ik in de csf.deny ga kijken staat dat betreffende IP adres daar dus wel degelijk in

23.97.209.223 # lfd: (smtpauth) Failed SMTP AUTH login from 23.97.209.223 (US/United States/-): 5 in the last 300 secs - Mon May 26 07:47:03 2014

Maar om een of andere reden blijft dat ip er maar in slagen om door CSF te geraken en te blijven aanvallen.

Iemand dit al eens gezien en een mogelijke oplossing hiervoor ?

dennis0162
26/05/14, 10:03
Zie je de rules wel staan als je iptables -L -n uitvoert DENYIN/DENYOUT?
CSF maakt gewoon iptable rules aan.

bibawa
26/05/14, 11:55
[~]# iptables -L -n | grep 23.97.209.223
DROP all -- 23.97.209.223 0.0.0.0/0
DROP all -- 0.0.0.0/0 23.97.209.223

dennis0162
26/05/14, 12:16
Probeer eens uitgaand te traceroute naar 23.97.209.223

Gaat het verder dan de gateway van je ISP?
Dan is er iets niet goed met je iptables installatie.

bibawa
26/05/14, 12:54
Nope, die geraakt niet buiten

]# traceroute 23.97.209.223
traceroute to 23.97.209.223 (23.97.209.223), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * *^C

dennis0162
26/05/14, 13:05
Weet je zeker dat 23.97.209.223 nog verbinding kan maken dan?

Test het anders even inkomend door een ander IP-adres was van je zelf is te blacklisten.