https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Debugging_CrowdSec_SSH-Bruteforce 2026-05-15T03:39:12Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Debugging_CrowdSec_SSH-Bruteforce&diff=64081&oldid=prev 2025-07-30T14:52:32Z

<p>Die Seite wurde neu angelegt: „== Debugging CrowdSec SSH-Bruteforce == Dieser Artikel zeigt Methoden, um Probleme mit der Erkennung und dem Blocken von SSH-Bruteforce-Angriffen durch CrowdS…“</p> <p><b>Neue Seite</b></p><div>== Debugging CrowdSec SSH-Bruteforce ==<br /> <br /> Dieser Artikel zeigt Methoden, um Probleme mit der Erkennung und dem Blocken von SSH-Bruteforce-Angriffen durch CrowdSec zu debuggen.<br /> <br /> === Aktive Angriffe im Journal prüfen ===<br /> *Alle fehlgeschlagenen SSH-Anmeldungen der letzten 5 Minuten anzeigen:<br /> journalctl -u ssh --since -5m | grep &quot;Failed password&quot;<br /> <br /> *Anzahl der fehlgeschlagenen Logins der letzten 2 Minuten zählen:<br /> journalctl -u ssh --since -2m | grep &quot;Failed password&quot; | wc -l<br /> <br /> === CrowdSec Alerts prüfen ===<br /> *Alle Alerts mit Details anzeigen:<br /> cscli alerts list -a<br /> <br /> *Alerts zu einer bestimmten IP suchen:<br /> cscli alerts list -a | grep 172.17.205.49<br /> <br /> === Status der Bans anzeigen ===<br /> *Aktuell gebannte IP-Adressen anzeigen:<br /> cscli decisions list<br /> <br /> *Nach spezifischer IP suchen:<br /> cscli decisions list | grep 172.17.205.49<br /> <br /> === Parser und Szenarien debuggen ===<br /> *Letzte 50 CrowdSec-Logs anzeigen:<br /> journalctl -u crowdsec -n 50<br /> <br /> *Echtzeit-Logs von CrowdSec verfolgen:<br /> journalctl -u crowdsec -f<br /> <br /> *Prüfen, ob SSH-Parser Events erzeugt:<br /> tail -f /var/log/crowdsec.log | grep ssh<br /> <br /> === Konfigurationsprüfung ===<br /> *Acquisition-Datei anzeigen:<br /> cat /etc/crowdsec/acquis.yaml<br /> <br /> *Whitelist prüfen:<br /> cat /etc/crowdsec/whitelists.yaml<br /> <br /> === Events manuell testen ===<br /> *SSH-Parser mit Testlogs prüfen:<br /> cscli parsers test --file /var/log/auth.log --type syslog<br /> <br /> *Alle verfügbaren Szenarien anzeigen:<br /> cscli scenarios list<br /> <br /> === Typische Fehlerquellen ===<br /> *Whitelist blockiert Erkennung (z.B. Datei /etc/crowdsec/whitelists.yaml)<br /> *Acquis.yaml enthält falschen Logtyp oder Pfad<br /> *Bouncer nicht aktiv (z.B. firewall-bouncer)<br /> *Fehler in Szenarien (z.B. ssh-bf.yaml nicht geladen)<br /> <br /> === Nützliche Links ===<br /> * [[https://doc.crowdsec.net/]] CrowdSec Dokumentation<br /> * [[https://hub.crowdsec.net/]] CrowdSec Hub</div>

Thomas.will