Stopper les notifications de Faux positifs CSF / LFD

Il est inquiétant lorsque vous recevez une notification du pare-feu concernant un processus suspect, en particulier pour les processus que vous ne reconnaissez pas aisément. C'est pourquoi nous avons compilé une liste de quelques alertes courantes qui sont principalement des faux positifs ainsi que les instructions pour arrêter leurs notifications. Cette liste est spécifique aux serveurs cPanel exécutant un firewall CSF / LFD.

 

Le bon point est que vous n'avez pas besoin de continuer à recevoir ces alertes. En fait, il est préférable de les désactiver afin que lorsque des alertes seront envoyées depuis le firewallu, votre boîte de réception ne soit pas inondée de faux positifs, ce qui vous rend moins susceptible de remarquer ces alertes importantes qui pourraient indiquer quelque chose de plus grave.

 

Pour arrêter les notifications, il vous suffit d'ajouter l'exécutable, la commande ou l'utilisateur (selon le type de notification reçu) au fichier associé situé dans /etc/csf/csf.pignore, puis redémarrer le pare-feu. Vous pouvez le faire depuis SSH ou via WHM.

 

Pour déterminer s'il est préférable d'ignorer l'utilisateur, l'exécutable ou la commande, vous devez en savoir un peu plus sur le processus. Si le processus est l'un de ceux qui seront exécutés sous son propre utilisateur, tels que postgres, alors il devrait être correct d'ajouter le nom d'utilisateur postgres au fichier ignoré.


L'exécutable est généralement préférable de mettre sur liste blanche lorsque l'on considère l'exécutable par rapport à la commande, mais si l'exécutable change souvent, il est préférable de mettre la commande sur liste blanche. Exemple pour le cas de SpamAssassin (voir spamd ci-dessous).

 

Ignorer les processus via SSH

 

Vous devez d'abord vous connecter au serveur en tant qu'utilisateur root via SSH:

racine ssh @ nom d'hôte -p2200

 

Assurez-vous de remplacer le nom d'hôte dans la commande précédente par votre adresse IP réelle ou votre nom d'hôte (je préfère l'IP juste au cas où l'enregistrement A n'est pas défini ou défini incorrectement pour le nom d'hôte).

Ensuite, modifiez le fichier ignorer le processus:

nano /etc/csf/csf.pignore

 

Pour certaines de ces alertes, comme l'alerte «spamd child / mailman», une entrée existe déjà dans le fichier, mais elle est désactivée. Dans ce cas, localisez simplement l'entrée et supprimez le premier «#». Si une entrée n'existe pas dans le fichier csf.pignore, vous devrez faire défiler vers le bas du fichier et y ajouter. Ensuite, vous appuyez sur Ctrl X + y + Entrée pour quitter et enregistrer.

 

 

 

Enfin, redémarrez le pare-feu pour que ces modifications prennent effet:

csf -ra

 

Désormais, vous ne devriez plus recevoir de notifications concernant les faux positifs. 

 

Ignorer les processus via WHM

 

Connectez-vous à WHM à l'URL suivante (remplacez le nom d' hôte par votre nom d'hôte réel ou l'adresse IP de votre serveur):

https://IP_serveur/whm ou encore https://IP_serveur:2087

 

Recherchez et sélectionnez l'option « ConfigServer Security & Firewall » de WHM

Recherchez et cliquez sur « csf.pignore - Process Tracking » si vous utilisez une ancienne version de CSF / LFD. Si votre version est à jour, vous sélectionnez le fichier csf.pignore dans le menu déroulant situé sous l'onglet 'lfd' comme indiqué ci-dessous, puis cliquez sur "Modifier":

 

 

Ajoutez la ligne contenant l'exécutable, l'utilisateur ou la commande au bas de la liste. Dans certains cas, l'entrée peut déjà exister mais être mise en commentaire. Si c'est le cas, localisez simplement l'entrée et supprimez le «#» pour activer la fonction d'ignorance du processus.

Maintenant, cliquez sur "Modifier" et redémarrez lfd en utilisant le bouton "Redémarrer lfd"

 

Le fichier csf.pignore et les processus courants qui déclenchent de fausses alertes positives

 

child spamd

 

Cette notification particulière est si courante que CSF / LFD fournit en fait une entrée désactivée pour elle. Il n'est pas ignoré par défaut, il faut donc configurer le pare-feu pour l'ignorer en utilisant les instructions ci-dessus. Pour ce processus, localisez-le simplement dans la liste et supprimez le premier «#», puis redémarrez le pare-feu. La ligne que vous recherchez dans le fichier /etc/csf/csf.pignore est la suivante:

#cmd:spamd child

 

Vous avez juste besoin de le changer comme suit:

cmd:spamd child

 

Redémarrez maintenant le pare-feu.

 

Jailshell

 

L'alerte suivante est celle que vous ne voudrez pas nécessairement désactiver complètement. Ce qui suit est un cron exécuté via le crontab d'un utilisateur qui utilise un shell emprisonné. Vous voudrez peut-être en savoir plus sur ce processus au cas où il y aurait de temps en temps et une erreur avec la fin du cron. Sinon, il se peut que vous vous attendiez à ce que le processus prenne un certain temps et que ce processus soit légitime, mais que votre boîte aux lettres soit inondée d'alertes. Dans ce cas, vous voudrez probablement ignorer le processus.

cmd:jailshell (user) [init] ell -c /usr/local/bin/php /path/to/file/index.php cron
\\

Passenger

 

Le processus suivant est celui que vous souhaitez configurer le pare-feu pour ignorer. Le processus Passenger est en fait dû à l'installation du module Apache Passenger. Ce module serait installé pour servir les applications NodeJS, Ruby et Python via Apache. Vous devez simplement ajouter la commande à la fin du fichier et redémarrer le pare-feu pour désactiver cette alerte.

 

exe: / usr / bin / node

OU

4 août 23:34:43 xander lfd [4367]: * Traitement utilisateur * PID: 4251 Kill: 0 Utilisateur: scriptkittie Heure: 72087 EXE: / usr / bin / node CMD: Passenger NodeApp: / home / scriptkittie / tools

 

Litespeed

 

Exemple d'erreur de type "Excessive resource usage" :

Time:         Fri Aug 28 13:01:53 2020 +0200
Account:      mamcin
Resource:     Process Time
Exceeded:     33272 > 10240 (seconds)
Executable:   /opt/cpanel/ea-php73/root/usr/bin/lsphp
Command Line: lsphp                                 
PID:          57044 (Parent PID:57044)
Killed:       No

 

Selon que Litespeed est installé sur CentOS ou sur Cloudlinux, détermine les entrées à ajouter au fichier de processus ignoré.

serveur CentOS avec EasyApache 3:

cmd:lsphp
exe:/usr/local/bin/lsphp

serveur CentOS avec EasyApache 4:

cmd:lsphp
pexe:^/opt/cpanel/ea-php\d\d/root/usr/bin/lsphp
pexe:^/usr/local/lsws/bin/lshttpd.*

serveur CloudLinux avec EasyApache 3:

cmd:lsphp
exe:/usr/selector/lsphp

serveur CloudLinux avec EasyApache 4:

cmd:lsphp
pexe:^/opt/alt/php.*/usr/bin/lsphp

serveur CloudLinux avec CageFS activé:

cmd:lsphp
pexe:^/opt/cpanel/ea-php\d\d/root/usr/bin/lsphp\.cagefs

 

ruby

 

Si vous installez Ruby sur votre serveur cPanel sous EasyApache 4, cela provoquera des alertes de pare-feu à moins que vous ne configuriez le pare-feu pour l'ignorer. Vous allez ajouter l'exécutable ci-dessous pour accomplir ceci:

exe:/opt/cpanel/ea-ruby24/root/usr/bin/ruby

 

awstats

 

Il s'agit d'une autre entrée qui existe par défaut dans le fichier ignorer le processus, bien que désactivée. Il doit simplement être activé en supprimant le "#" de tête de chaque entrée du fichier csf.pignore, puis en exécutant un redémarrage du pare-feu:

pcmd:/usr/bin/perl /usr/local/cpanel/3rdparty/bin/awstats\.pl.*
pcmd:/usr/bin/perl /usr/local/cpanel/base/awstats\.pl.*

 

nagios

 

Si vous installez Nagios sur votre serveur, les éléments suivants peuvent être utilisés pour arrêter les alertes de processus du pare-feu le concernant:

user:nagios
exe:/usr/sbin/nrpe
cmd:/usr/sbin/nrpe -c /etc/nrpe.cfg -d

 

MailScanner

 

MailScanner est encore une autre entrée par défaut qui est désactivée, mais peut être activée en supprimant le «#» en tête et en redémarrant le pare-feu.

pcmd:MailScanner:.*

 

cpanellogd

 

Ceci est un autre que le pare-feu a prévu comme un faux positif légitime et a ajouté l'entrée désactivée pour nous. Nous avons juste besoin de supprimer le premier «#» de l'entrée pour l'activer et redémarrer le pare-feu.

pcmd:/cpanellogd - (http|ftp) logs for .*

 

mailman

 

Mailman est un autre faux positif que les développeurs de pare-feu ont prédit que nous voudrions ignorer, ils ont donc ajouté l'entrée pour nous. Il vous suffit de localiser les entrées suivantes et de supprimer les «#» en tête de chacune et de redémarrer le pare-feu:

pcmd:/usr/local/cpanel/3rdparty/bin/python /usr/local/cpanel/3rdparty/mailman/bin/qrunner.*
pcmd:/usr/local/cpanel/3rdparty/bin/python /usr/local/cpanel/3rdparty/mailman/bin/mailmanctl.*

 

nginx

 

Si vous avez installé Nginx sur votre serveur, vous devrez ajouter manuellement le processus ignorer. Votre chemin peut différer de celui ci-dessous selon la façon dont vous avez installé le service car il n'y a pas de support pour Nginx pour le moment via cPanel, mais le processus est le même. Ajoutez l'exécutable, la commande ou l'utilisateur et redémarrez le pare-feu.

exe:/usr/local/sbin/nginx

 

memcached

Memcached est souvent installé manuellement car aucun support officiel de cPanel n'existe pour le moment, bien qu'il soit actuellement dans les référentiels EA4 expérimentaux. L'ajout de ce qui suit au fichier csf.pignore et l'émission d'un redémarrage du pare-feu devraient arrêter les notifications LFD le concernant:

exe:/usr/bin/memcached

 

rsync (via backup plugins)

 

Rsync est souvent utilisé par les plugins de sauvegarde pour sauvegarder un site. Personnellement, je préférerais une sauvegarde cPanel à une sauvegarde de site effectuée via un plugin pour de nombreuses raisons, mais, si pour une raison quelconque vous décidez de continuer à utiliser le plugin de sauvegarde, vous pouvez constater que vous souhaitez désactiver les alertes concernant le processus rsync. Si tel est le cas, vous pouvez ajouter ce qui suit au fichier csf.pignore et redémarrer le pare-feu pour accomplir cela:

exe:/usr/bin/rsync

 

redis

 

La mise en cache Redis peut être ignorée via le pare-feu en ajoutant les entrées suivantes au fichier csf.pignore. Notez que si votre installation Redis utilise des spécifications différentes, vous devrez peut-être examiner les alertes envoyées et ajouter cette commande au fichier csf.pignore au lieu de la commande ci-dessous:

exe:/usr/bin/redis-server
cmd;/usr/bin/redis-server 127.0.0.1:6379

sftp

 

e fait d'ajouter ou non SFTP au processus ignore le fichier est plus ou moins une question de préférence personnelle. Si vous préférez être alerté chaque fois qu'un de vos utilisateurs sur votre serveur télécharge / télécharge des fichiers via SFTP, vous ne voudrez pas l'ajouter au fichier ignorer le processus. D'un autre côté, si vous pensez que l'utilisateur n'aurait pas d'accès SFTP s'il n'était pas déjà approuvé, vous ajouteriez ce qui suit au fichier ignorer le processus et redémarrer le pare-feu pour ignorer ces alertes (assurez-vous de remplacer l' utilisateur , pas usr , avec le nom réel de l'utilisateur cPanel):

exe:/home/virtfs/user/usr/libexec/openssh/sftp-server
cmd: /usr/libexec/openssh/sftp-server

Node

 

Si vous avez installé NodeJS sur votre serveur, vous devrez configurer le pare-feu pour l'ignorer en ajoutant l'exécutable suivant au bas du fichier csf.pignore puis en redémarrant le pare-feu:

exe:/usr/bin/node

 

Python

 

Si vous avez des applications Python exécutées via le module Passager d'Apache, vous commencerez probablement à obtenir ces faux positifs. Vous pouvez les ignorer en ajoutant la commande au fichier ignorer le processus et en redémarrant le pare-feu.

python /opt/cpanel/ea-ruby24/root/usr/share/passenger/helper-scripts/wsgi-loader.py

 

PHP-FPM

 

PHP FPM pour un utilisateur spécifique peut être ignoré via ce qui suit (assurez-vous de remplacer le nom d'utilisateur ci-dessous par le nom d'utilisateur cPanel réel), bien que vous souhaitiez vérifier l'utilisation des ressources de l'utilisateur et vous assurer qu'aucun abus ne se produit pour leurs sites s'ils sont soudains. :

cmd:php-fpm: pool username

Avant d'ajouter cette ligne au fichier ignoré, vous devez vérifier les scripts exécutés sous l'utilisateur et confirmer si ces scripts doivent utiliser autant de ressources et sont légitimes ou non.

Une raison pour mettre sur liste blanche les processus PHP-FPM d'un utilisateur serait si l'utilisateur a des scripts de sauvegarde qui prennent beaucoup de temps à s'exécuter. Je conseillerais uniquement de mettre ces processus sur liste blanche tant que certaines conditions sont remplies, notamment 1) exécute des analyses fréquentes de logiciels malveillants sur le site et 2) utilise un pare-feu d'application Web.

 

Varnish

Le démon de mise en cache de vernis peut souvent être ignoré à l'aide de l'entrée suivante, bien que votre chemin d'accès puisse être différent selon les instructions d'installation tierces que vous avez utilisées pour l'installer:

exe:/usr/sbin/varnishd

 

Postgres

 

Selon l'âge de votre serveur, vous pouvez ou non avoir besoin d'ajouter Postgres au fichier ignorer le processus du pare-feu. Vous pouvez vérifier en utilisant la commande suivante:

  grep postgres /etc/csf/csf.pignore

Si vous n'obtenez aucune sortie de cette commande, ou si vous obtenez une sortie précédée de '#', vous devrez activer ignorer les postgres soit en supprimant le '#' existant, soit en ajoutant l'entrée.

exe:/usr/bin/postgres

ClamAV

 

ClamAV est un plugin de scanner de malware dans cPanel. Si vous choisissez de l'activer, vous devrez également ignorer le processus dans le pare-feu. Étant donné que ClamAV s'exécute sous son propre utilisateur, vous pouvez ignorer l'utilisateur:

user:clamav

Si vous préférez ignorer l'exécutable ou la commande, ils sont les suivants:

exe::/usr/local/cpanel/3rdparty/bin/freshclam
cmd:/usr/local/cpanel/3rdparty/bin/freshclam --quiet --no-warnings

 

ElasticSearch

 

ElasticSearch est une autre installation courante sur les serveurs cPanel qui peut provoquer des faux positifs. Ce service fonctionne également sous son propre utilisateur et peut être ajouté au fichier ignorer le processus via le nom d'utilisateur:

user:elasticsearch

Si vous préférez utiliser l'exécutable ou la commande, ils sont répertoriés ci-dessous pour référence:

exe:/usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86_64/bin/controller
cmd:/usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86_64/bin/controller

 

Tout logiciel tiers que vous avez installé

 

Centovacast n'est pas vraiment un logiciel très courant pour lequel nous voyons ce type d'alertes. Il s'agit d'un exemple d'installation de logiciels tiers qui provoquerait des notifications LFD mais peut être ignoré via le pare-feu pour arrêter ces notifications. Voici les lignes exécutables qui ont dû être ajoutées à la liste blanche dans une installation récente de Centovacast qui a provoqué l'envoi de telles alertes:

exe:/usr/local/centovacast/liquidsoap/bin/liquidsoap
exe:/usr/local/centovacast/sbin/cc-comet
exe:/usr/local/centovacast/sbin/cc-web
exe:/usr/local/centovacast/sbctrans2/sc_trans
exe:/usr/local/centovacast/shoutcast2/sc_srv
exe:/usr/local/centovacast/sbin/cc-control
exe:/usr/local/centovacast/sbin/cc-appserver

L'alerte LFD que vous recevez contiendra l'exécutable et les valeurs de ligne de commande que vous devrez ajouter à la liste des processus ignorés.

 

L'intégrité du système a détecté des fichiers modifiés

 

Ce n'est pas toujours un faux positif, veuillez donc ne pas ignorer automatiquement cette alerte!

C'est surtout un faux positif et les résultats des mises à jour qui ont des packages mis à jour. Il faut d'abord déterminer si c'est le cas avant d'ignorer l'e-mail.

Veuillez consulter la section suivante concernant les échecs de comparaison de md5sum pour plus d'informations sur la façon de traiter ces types d'alertes.

 

La liste de fichiers suivante a échoué le test de comparaison md5sum

 

Ce n'est pas toujours un faux positif, veuillez donc ne pas ignorer automatiquement cette alerte! C'est surtout un faux positif et les résultats des mises à jour qui ont des packages mis à jour. Il faut d'abord déterminer si c'est le cas avant d'ignorer l'e-mail.

Un exemple d'e-mail peut être l'un des suivants, que l'on peut recevoir à la suite d'une mise à jour automatique de cPanel:

The following list of files have FAILED the md5sum comparison test. This means that the file has been changed in some way. This could be a result of an OS update or application upgrade. If the change is unexpected it should be investigated:

/usr/bin/ea-php56: FAILED
/usr/bin/ea-php70: FAILED
/usr/bin/ea-php71: FAILED
/usr/bin/ea-php72: FAILED
/bin/ea-php56: FAILED
/bin/ea-php70: FAILED
/bin/ea-php71: FAILED
/bin/ea-php72: FAILED
/usr/local/bin/ea-php56: FAILED
/usr/local/bin/ea-php70: FAILED
/usr/local/bin/ea-php71: FAILED
/usr/local/bin/ea-php72: FAILED

Vous devez déterminer si ces fichiers binaires ont été modifiés en raison de mises à jour ou par d'autres moyens. Vous pouvez rechercher dans le journal de mise à jour yum et dans les journaux de mise à jour cPanel des entrées suggérant des mises à jour de ces fichiers binaires juste avant l'envoi de ces alertes.

Le journal de mise à jour yum se trouve ici:

/var/log/yum.log

Les journaux de mise à jour de cPanel se trouvent ici:

/var/cpanel/updatelogs/


Le fichier csf.fignore et les alertes de contenu du répertoire légitime

 

CSF / LFD contient également un fichier csf.fignore accessible de la même manière que le fichier csf.pignore. Le but de ce fichier est de répertorier les répertoires que la fonction de surveillance des répertoires LFD doit ignorer. Par exemple, une récente mise à jour de cPanel a temporairement modifié l'emplacement de stockage des fichiers temporaires PHPMyAdmin. L'affaire se lit comme suit 1) :

Le boîtier interne CPANEL-23314 est ouvert pour résoudre un problème dans cPanel et WHM version 76 où l'accès à phpMyAdmin en tant qu'utilisateur cPanel conduit à la création de fichiers utilisateur pma_template_compiles_$user dans le répertoire système /tmp. Bien que cela ne conduise pas à des problèmes directs avec cPanel et WHM lui-même, c'est contraire au comportement observé dans des applications telles que Horde et Roundcube où les fichiers temporaires sont stockés dans le répertoire /home/$user/tmp/.

Étant donné que CSF / LFD surveille le répertoire / tmp pour les fichiers suspects, cette modification a entraîné des alertes de faux positifs avec le sujet "Suspicious File Alert" référençant les fichiers situés dans le répertoire correspondant au modèle "/tmp\/pma_template_compiles_*" où * représente le cPanel nom d'utilisateur du compte qui a accédé à PHPMyAdmin via cPanel.

Étant donné que tous ces fichiers étaient créés dans un répertoire utilisé uniquement pour eux et que rien d'autre nécessitant une surveillance n'existait sous ce répertoire, ignorer le répertoire entier de manière récursive était la meilleure option. Cela signifiait ajouter le processus au fichier csf.fignore comme ceci:

echo "/tmp\/pma_template_compiles_*" >> /etc/csf/csf.fignore; csf -ra

Cette commande a ajouté le processus et redémarré le pare-feu avec les nouvelles règles.

Un autre cas similaire impliquait le déchargement des plugins de statistiques de Litespeed dans un répertoire dédié /tmp/lshttpd/.rtreport. Dans ce cas, le répertoire suivant a été ignoré:

/tmp/lshttpd/.rtreport*

Le fichier csf.fignore et les alertes de contenu du répertoire légitime

Ce fichier est utile pour les adresses IP que vous ne voulez pas contourner les ports fermés mais que vous ne voulez pas bloquer non plus. Par exemple, et fournisseur de scan PCI. Vous devrez ajouter les adresses IP de la société de test de conformité PCI dans votre pare-feu pour vous assurer qu'elles ne sont pas bloquées pour l'analyse des ports lors de l'analyse de votre site. L'ajout de leurs adresses IP à csf.ignore au lieu de csf.allow garantit qu'ils ne sont pas bloqués, mais ne peuvent toujours pas contourner les ports fermés, ce qui entraînerait un échec de l'analyse PCI. Si vous deviez ajouter leurs adresses IP à csf.allow à la place, ils pourraient toujours être bloqués par certaines vérifications LFD et pourraient contourner les ports fermés, ce qui entraînerait probablement une inévitable échec de l'analyse PCI.

 

Autres fichiers ignorés

 

Les autres fichiers Ignorer qui peuvent être utilisés dans le cas de faux positifs beaucoup moins courants sont les suivants:

File Purpose
csf.logignore regex pour faire correspondre les journaux à ignorer par LOGSCANNER
csf.mignore liste d'utilisateurs et d'adresses IP locales à ignorer par le RT_LOCALRELAY_ALERT
csf.rignore liste des domaines rDNS à ignorer par le suivi des processus LFD tels que les bots
csf.signore liste des fichiers que LF_SCRIPT_ALERT ignorera
csf.suignore liste des noms d'utilisateurs qui sont ignorés lors de la vérification LF_EXPLOIT SUPERUSER
csf.uidignore liste des ID utilisateur (UID) qui sont ignorés par la fonction de suivi des ID utilisateur

Voici quelques informations utiles lors de la lecture du tableau ci-dessus:

  • LOGSCANNER Cette fonction enverra un résumé par e-mail des lignes de journal de chaque journal répertorié dans /etc/csf/csf.logfiles
  • RT_LOCALHOST_RELAY Fonctionnalité qui déclenche un courrier électronique excessif envoyé via /usr/sbin/sendmail ou /usr/sbin/exim
  • LF_SCRIPT_ALERT Alertes lorsqu'une limite du nombre d'e-mails cwd= path envoyés en moins d'une heure est dépassée.

Celles-ci sont beaucoup moins courantes et il est peu probable que vous ayez besoin de modifier les éléments répertoriés dans le tableau.

 

Autres faux positifs

 

Il existe également des faux positifs évidents, tels que les notifications de connexion que le pare-feu envoie lorsque vous vous connectez en tant qu'utilisateur root via SSH ou lorsque vous passez d'un utilisateur cPanel à l'utilisateur root. Vous pouvez également recevoir une alerte concernant un blocage résultant d'un échec d'authentification dont vous êtes vous-même responsable si vous avez oublié un mot de passe.

Un autre faux positif courant se produit lorsqu'un administrateur de site ou un développeur actif travaille dans de nombreux services différents à la fois et a plus de connexions ouvertes que ce qui est attribué via la limite de connexion du pare-feu, CT_LIMIT. Cela peut entraîner le blocage de l'administrateur sans raison apparente lors de son travail actif sur les sites. Bien que le pare-feu recommande un paramètre de 300 pour cette limite (via le fichier csf.conf), une restriction plus conservatrice mais saine de 200 connexions simultanées à partir d'une seule adresse IP convient probablement à la plupart.

Le CT_LIMIT peut également provoquer des faux positifs lorsqu'il est utilisé conjointement avec des sites qui utilisent Cloudflare si les IP Cloudflare n'ont pas été ajoutées au fichier csf.ignore. Sur les sites les plus occupés, les connexions simultanées à partir des IP proxy / CDN Cloudflare peuvent facilement dépasser cette limite et entraîner des blocages faux positifs contre les IP Cloudflare. Cela peut entraîner des problèmes de chargement des sites et c'est pourquoi nous configurons votre pare-feu en conséquence pour autoriser les services communs tels que Cloudflare.

 

Conclusion

 

Votre pare-feu est un logiciel qui doit être configuré pour fonctionner en conséquence. L'approche adoptée avec CSF / LFD est essentiellement une approche de liste blanche. Vous ajoutez à la liste blanche les processus autorisés, puis il envoie des avertissements concernant tout autre processus trouvé en cours d'exécution et non sur la liste blanche (répertorié dans le fichier ignorer les processus). Donc, si vous avez récemment installé un nouveau service ou démon, puis recevez une alerte sur ce processus que vous savez légitime, vous pourrez peut-être le mettre en liste blanche en toute sécurité. Si le processus est un processus que vous ne reconnaissez pas, faites-le examiner.

Honnêtement, il est préférable que votre support serveur étudie tout ce que vous recevez, car il est courant que les logiciels malveillants se nomment après des processus normalement légitimes pour essayer de se cacher. Pour cette raison, si vous recevez une alerte dont vous n'êtes pas sûr à 100%, demandez-nous! Un exemple serait un processus perl malveillant s'exécutant sous / usr / bin / http. Si vous commencez tout juste à recevoir des alertes, mais qu'Apache fonctionne sur votre serveur depuis des mois, ce serait certainement quelque chose à demander au support.

  • 1 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

Installer WHM / cPanel sur Centos

yum updateyum upgradeyum install perlcd /homewget -N http://httpupdate.cpanel.net/latestsh latest...

Cpanel / MariaDB - Could not increase number of max_open_files to more than 100000

Waiting for “mysql” to restart ……waiting for “mysql” to initialize ………finished.Service...

Virtuozzo / OpenVZ - Augmenter la limite INODE

Certains modèles de Templates nécessitent une limite d'inode supérieure pour pouvoir être...

Linux - Rescue Mode

Le mode Rescue est un outil disponible pour votre serveur dédié. Le mode de secours peut être...

/bin/bash^M: bad interpreter: No such file or directory

Bonjour,L'execution de votre script tombe en echec ? et après avoir vérifiez les droits de votre...

Powered by WHMCompleteSolution