Debugging CrowdSec SSH-Bruteforce
Zur Navigation springen
Zur Suche springen
Debugging CrowdSec SSH-Bruteforce
Dieser Artikel zeigt Methoden, um Probleme mit der Erkennung und dem Blocken von SSH-Bruteforce-Angriffen durch CrowdSec zu debuggen.
Aktive Angriffe im Journal prüfen
- Alle fehlgeschlagenen SSH-Anmeldungen der letzten 5 Minuten anzeigen:
journalctl -u ssh --since -5m | grep "Failed password"
- Anzahl der fehlgeschlagenen Logins der letzten 2 Minuten zählen:
journalctl -u ssh --since -2m | grep "Failed password" | wc -l
CrowdSec Alerts prüfen
- Alle Alerts mit Details anzeigen:
cscli alerts list -a
- Alerts zu einer bestimmten IP suchen:
cscli alerts list -a | grep 172.17.205.49
Status der Bans anzeigen
- Aktuell gebannte IP-Adressen anzeigen:
cscli decisions list
- Nach spezifischer IP suchen:
cscli decisions list | grep 172.17.205.49
Parser und Szenarien debuggen
- Letzte 50 CrowdSec-Logs anzeigen:
journalctl -u crowdsec -n 50
- Echtzeit-Logs von CrowdSec verfolgen:
journalctl -u crowdsec -f
- Prüfen, ob SSH-Parser Events erzeugt:
tail -f /var/log/crowdsec.log | grep ssh
Konfigurationsprüfung
- Acquisition-Datei anzeigen:
cat /etc/crowdsec/acquis.yaml
- Whitelist prüfen:
cat /etc/crowdsec/whitelists.yaml
Events manuell testen
- SSH-Parser mit Testlogs prüfen:
cscli parsers test --file /var/log/auth.log --type syslog
- Alle verfügbaren Szenarien anzeigen:
cscli scenarios list
Typische Fehlerquellen
- Whitelist blockiert Erkennung (z.B. Datei /etc/crowdsec/whitelists.yaml)
- Acquis.yaml enthält falschen Logtyp oder Pfad
- Bouncer nicht aktiv (z.B. firewall-bouncer)
- Fehler in Szenarien (z.B. ssh-bf.yaml nicht geladen)