Pergunta : Guarda-fogo de Cpanel LFD (usuário da LÂMPADA do linux)

O guarda-fogo de LFD ainda que permite IP address com aquele é obstruído

Eu tenho observado dois exemplos separados recentemente.
1. eu tinha adicionado manualmente um IP address devido ao Spam do formulário da correia fotorreceptora. Então nós começ diversos MAIS do mesmo IP address que tinha sido obstruído manualmente. O formulário da correia fotorreceptora usa o env var REMOTE_ADDR capturando o IP address.   Eu usei-me  
200.143.0.0 /16
que formato parece ter trabalhado no passado.

2. Separada, obstruído e continuado então a começ completamente:    Na vista sobre registros do usuário, eu ver que o detetor do guarda-fogo fêz seu trabalho em obstruir o exemplo abaixo de 81.208.30.34
Entretanto nas horas e nos dias subseqüentes, havia umas centenas que MAIS blocos emitiram (grupos de cinco falhas do ataque do dicionário).
(ver o WHM> negar abaixo a entrada de lista, seguido por dois trechos aleatórios dos email que do registro eu recebo).   Eu pensei uma vez que um IP foi obstruído, isso era o fim dele, que o guarda-fogo impediu que consiga mesmo que distante outra vez ser obstruído outra vez.

PERGUNTAS:
A. São os vars do IP env spoofable? (e assim está obstruindo o endereço errado)

B -- ou-- a pergunta real: como poderiam os acessos subseqüentes a fazer com (e no último caso, ser obstruído outra vez)

C uma pergunta do aparte. Meu “proprietário” diz que aquele using a sintaxe da máscara de CIDR para o bloco nega a lista pega uma quantidade inordinate de processador central - hora de girar com cada um de 2 ** 16 IP address. Eu pensei que uma equação bôoleana simples da lógica estêve usada bitwise para mascarar literalmente a parte necessário do addr do IP e para fazer apenas um simples = compara para aquela a divisória.
Que é sua tomada em usar máscaras de CIDR na lista da negação?

OBRIGADO!

(registros/sumário unido abaixo)

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: 31: 32: 33: 34: 35: 36: 37: 38:

REGISTRO _________________________________ Negar a entrada de lista: 81.208.30.34 # lfd: 5 falhas do início de uma sessão (pop3d) de 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it) nos últimos 300 segundos - Fri 14 de maio de 11: 51: 09 2010 __________________________________ dois exemplos de registros enviados por correio electrónico (no seguimento da entrada de lista do bloco) (parece ser um ataque do dicionário) Tempo: Fri 14 de maio de 11: 54: 20 2010 -0400 IP: 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it) Falhas: 5 (pop3d) Intervalo: 300 segundos Obstruído: Sim Entradas de registro: 14 de maio de 11: 54: 15 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=tony, ip= [:: ffff: 81.208.30.34] 14 de maio de 11: 54: 17 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=cyrus, ip= [:: ffff: 81.208.30.34] 14 de maio de 11: 54: 18 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=pgsql, ip= [:: ffff: 81.208.30.34] 14 de maio de 11: 54: 20 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=info, ip= [:: ffff: 81.208.30.34] 14 de maio de 11: 54: 20 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=named, ip= [:: ffff: 81.208.30.34] Tempo: Fri 14 de maio de 12: 09: 28 2010 -0400 IP: 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it) Falhas: 5 (pop3d) Intervalo: 300 segundos Obstruído: Sim Entradas de registro: 14 de maio de 12: 09: 01 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=radiomail, ip= [:: ffff: 81.208.30.34] 14 de maio de 12: 09: 07 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=harrypotter, ip= [:: ffff: 81.208.30.34] 14 de maio de 12: 09: 15 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=divine, ip= [:: ffff: 81.208.30.34] 14 de maio de 12: 09: 21 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=popa3d, ip= [:: ffff: 81.208.30.34] 14 de maio de 12: 09: 26 server2 pop3d: INÍCIO DE UMA SESSÃO FALHADO, user=aptproxy, ip= [:: ffff: 81.208.30.34]

Resposta : Guarda-fogo de Cpanel LFD (usuário da LÂMPADA do linux)

A: Os vars do IP env podem spoofed, mas como é uma conexão do TCP ele podem somente ser das “uma paródia cortinas” (http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=6394&mode=thread&order=0&thold=0) que signifique o cliente deve supr algumas coisas e igualmente não receberá nenhum gabarito (carregar todos os índices da página). Naturalmente o cliente deve igualmente estar em uma rede que reserve spoofing IP address.

B: Como você obstruiu o IP address. O bloco pode ser tempo limitado (e removeu assim alguma hora no futuro), ou pode ser feito em uns níveis de segurança mais elevados (não no guarda-fogo). Igualmente você pode ter o limite a quantos IPs são obstruídos (por exemplo DENY_IP_LIMIT). Quando o limite é alcangado os blocos os mais velhos estão removidos.

C: depende do bloco e do software que fazem o bloco - poderia põr em subrange ou em todos os endereços individuais.