脚本的邮件提醒

手册/FAQ (651) 2011-08-09 15:37:51

    lfd可以扫描从服务器脚本进出端口发送的邮件。
    您需要添加一行扩展邮件日志记录行至第一个文本框内的WHM >Exim Configuration Editor > Switch to Advanced
Mode >,并添加以下内容,才能使用这个功能:
    log_selector = +arguments +subject +received_recipients
    如果您已经使用扩展的进出端口日志记录,那么您可以连+arguments一起用或使用+all
    如果一小时内出现相同cwd= 路径的多行LF_SCRIPT_LIMIT,该设置将会发送提醒邮件。这样有利于识别服务器上的垃圾邮件脚本,尤其是在nobody账户下运行的PHP脚本。发送的邮件包括进出端口日志行,并查找该路径发送邮件的脚本,可能是罪魁祸首。
    该选项的提醒邮件使用/etc/csf/scriptalert 文本文件。
    如果您使用LF_SCRIPT_ALERT 选项,lfd将用chattr +i和chmod 000禁用该路径,则该用户不能重新启用。提醒邮件也包含重新启用攻击路径的所需命令。
    漏报将被添加到/etc/csf/csf.signore,lfd将忽略这些列出的脚本。

THE END

上一篇

下一篇