出于某种原因,我不能让CSF的LFD(/etc/csf/csf.pignore)忽略通过perl进行的amavisd-new运行。 守护进程通过/usr/bin/perl /usr/sbin/amavisd-new (some mode)但似乎当我使用基于正则expression式的pcmd: ,LFD不会忽略它。 LFD和/或与pcmd:使用的正则expression式有pcmd:我不理解? 我用pcmd:的其他东西pcmd:工作正常。 我不想忽略amavis用户,也不理睬perl。 我用csf -ra重新加载更改。
我尝试过的各种方法:
pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.* pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.* pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.* pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.* pcmd:.*\s/usr/sbin/amavisd-new\s.* pcmd:.*/usr/sbin/amavisd-new.* pcmd:.*/usr/sbin/amavis.*
CSF:v9.24(generic)在Ubuntu 16.04.1 – x86_64上
Executable: /usr/bin/perl Command Line (often faked in exploits): /usr/sbin/amavisd-new (master) Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child) Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail) Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch4-avail)
尽量不要使用正则expression式。 做就是了
exe:/usr/sbin/amavisd-new
在csf.pignore中,看看会发生什么。 根据他们的论坛,这是perl守护进程的方式。 他们承认目前还不清楚,因为他们的报警提到了一个不同的可执行文件(即perl)。