lfd可以扫描从服务器脚本进出端口发送的邮件。
您需要添加一行扩展邮件日志记录行至第一个文本框内的WHM >Exim Configuration Editor > Switch to Advanced
Mode >,并添加以下内容,才能使用这个功能:
log_selector = +arguments +subject +received_recipients
如果您已经使用扩展的进出端口日志记录,那么您可以连+arguments一起用或使用+all
如果一小时内出现相同cwd= 路径的多行LF_SCRIPT_LIMIT,该设置将会发送提醒邮件。这样有利于识别服务器上的垃圾邮件脚本,尤其是在nobody账户下运行的PHP脚本。发送的邮件包括进出端口日志行,并查找该路径发送邮件的脚本,可能是罪魁祸首。
该选项的提醒邮件使用/etc/csf/scriptalert 文本文件。
如果您使用LF_SCRIPT_ALERT 选项,lfd将用chattr +i和chmod 000禁用该路径,则该用户不能重新启用。提醒邮件也包含重新启用攻击路径的所需命令。
漏报将被添加到/etc/csf/csf.signore,lfd将忽略这些列出的脚本。
(本文由美国主机侦探原创,转载请注明出处“美国主机侦探”和原文地址!)
微信扫码加好友进群
主机优惠码及时掌握
QQ群号:938255063
主机优惠发布与交流
