Open Signum opened 1 year ago
@Signum: Thanks for opening an issue, it is currently awaiting triage.
In the meantime, you can:
Moving issue over to the hub as it best place over there
To be able to create a whitelist for this issue, I am going to need the output of cscli alerts inspect -d <alert_id>
you can find the alert_id by running cscli alerts list
and take the ID on the far left. There may be your IP address within there so make sure to redact but the key bits of information is:
Thanks for the swift response.
################################################################################################
- ID : 2435
- Date : 2023-03-03T09:06:19Z
- Machine : 760882fc9a9b49719e0f631a1c3181b72IX0kvPJzmRxkQXx
- Simulation : false
- Reason : crowdsecurity/http-crawl-non_statics
- Events Count : 46
- Scope:Value: Ip:91.106.190.76
- Country : DE
- AS : Vereinigte Stadtwerke Media GmbH
- Begin : 2023-03-03 09:06:07.386705213 +0000 UTC
- End : 2023-03-03 09:06:19.12559318 +0000 UTC
- Events :
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/… |
+-----------------+--------------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------------+
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/… |
+-----------------+--------------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------------+
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/… |
+-----------------+--------------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------------+
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/perfmedia/… |
+-----------------+--------------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------------+
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/… |
+-----------------+--------------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------------+
- Date: 2023-03-03 10:06:18 +0100 +0100
+-----------------+--------------------------------------------------------+
| Key | Value |
+-----------------+--------------------------------------------------------+
| ASNNumber | 198930 |
+-----------------+--------------------------------------------------------+
| ASNOrg | Vereinigte Stadtwerke Media GmbH |
+-----------------+--------------------------------------------------------+
| IsInEU | true |
+-----------------+--------------------------------------------------------+
| IsoCode | DE |
+-----------------+--------------------------------------------------------+
| SourceRange | 91.106.128.0/18 |
+-----------------+--------------------------------------------------------+
| datasource_path | /var/log/apache2/cloud-access.log |
+-----------------+--------------------------------------------------------+
| datasource_type | file |
+-----------------+--------------------------------------------------------+
| http_args_len | 0 |
+-----------------+--------------------------------------------------------+
| http_path | /remote.php/dav/files/chaas/SYNC/… |
+-----------------+--------------------------------------------------------+
| http_status | 200 |
+-----------------+--------------------------------------------------------+
| http_user_agent | Mozilla/5.0 (Linux) mirall/3.7.3git (Nextcloud, |
| | org.kde.Platform-5.15.0-60-generic ClientArchitecture: |
| | x86_64 OsArchitecture: x86_64) |
+-----------------+--------------------------------------------------------+
| http_verb | GET |
+-----------------+--------------------------------------------------------+
| log_type | http_access-log |
+-----------------+--------------------------------------------------------+
| service | http |
+-----------------+--------------------------------------------------------+
| source_ip | 91.106.190.76 |
+-----------------+--------------------------------------------------------+
| timestamp | 2023-03-03T10:06:18+01:00 |
+-----------------+--------------------------------------------------------+
This is similar to an issue raised by a user in discord yesterday? Just checking your not the same person if not I can surely issue a fix by today. We just need to make the last whitelist item within nextcloud-whitelist a regex that can match /dav/
and /webdav/
however, noted your are GET so maybe this is different user sorry. 👋🏻
I'm afraid I'm not the person from Discord. :)
I have the same issue when browsing through my photos.
################################################################################################
ID : 1452
Date : 2023-03-09T10:13:24Z
Machine : N/A
Simulation : false
Reason : crowdsecurity/http-probing
Events Count : 12
Scope:Value: Ip:193.173.45.87
Country : NL
AS : KPN B.V.
Begin : 2023-03-09 10:13:02 +0000 UTC
End : 2023-03-09 10:13:16 +0000 UTC
Events :
I have the same issue when browsing through my photos.
################################################################################################
- ID : 1452
- Date : 2023-03-09T10:13:24Z
- Machine : N/A
- Simulation : false
- Reason : crowdsecurity/http-probing
- Events Count : 12
- Scope:Value: Ip:193.173.45.87
- Country : NL
- AS : KPN B.V.
- Begin : 2023-03-09 10:13:02 +0000 UTC
- End : 2023-03-09 10:13:16 +0000 UTC
- Events :
- Date: 2023-03-09 10:13:01 +0000 UTC ╭─────────────────────┬─────────────────────────────────────────────╮ │ Key │ Value │ ├─────────────────────┼─────────────────────────────────────────────┤ │ ASNNumber │ 1136 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ ASNOrg │ KPN B.V. │ ├─────────────────────┼─────────────────────────────────────────────┤ │ IsInEU │ true │ ├─────────────────────┼─────────────────────────────────────────────┤ │ IsoCode │ NL │ ├─────────────────────┼─────────────────────────────────────────────┤ │ SourceRange │ 193.173.0.0/18 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ datasource_path │ /logs/traefik/access.log │ ├─────────────────────┼─────────────────────────────────────────────┤ │ datasource_type │ file │ ├─────────────────────┼─────────────────────────────────────────────┤ │ http_args_len │ 9 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ http_path │ /apps/photos/api/v1/preview/28131?x=64&y=64 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ http_status │ 404 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ log_type │ http_access-log │ ├─────────────────────┼─────────────────────────────────────────────┤ │ service │ http │ ├─────────────────────┼─────────────────────────────────────────────┤ │ source_ip │ 193.173.45.87 │ ├─────────────────────┼─────────────────────────────────────────────┤ │ timestamp │ 2023-03-09T10:13:01Z │ ├─────────────────────┼─────────────────────────────────────────────┤ │ traefik_router_name │ nextcloud-secure@docker │ ├─────────────────────┼─────────────────────────────────────────────┤ │ user │ - │ ╰─────────────────────┴─────────────────────────────────────────────╯
Have you installed the whitelist? https://hub.crowdsec.net/author/crowdsecurity/configurations/nextcloud-whitelist
Photos is already covered but doesnt come with nextcloud collection you must install it optionally
No I didn´t sorry I missed it. So ignore my message.
I'm afraid but the problem occurs again despite having the whitelist installed. I suspect that the whitelist does not cover response code 200 while the desktop client syncs its files.
Here is a new alert:
################################################################################################
- ID : 140374
- Date : 2023-07-25T21:01:43Z
- Machine : 760882fc9a9b49719e0f631a1c3181b72IX0kvPJzmRxkQXx
- Simulation : false
- Reason : crowdsecurity/http-crawl-non_statics
- Events Count : 58
- Scope:Value : Ip:91…
- Country : DE
- AS : Vereinigte Stadtwerke Media GmbH
- Begin : 2023-07-25 21:01:08.472402989 +0000 UTC
- End : 2023-07-25 21:01:43.181514656 +0000 UTC
- UUID : 597836b8-a72a-4037-b01d-b66b0374eb27
- Active Decisions :
╭──────────┬──────────────────┬────────┬────────────────────┬──────────────────────╮
│ ID │ scope:value │ action │ expiration │ created_at │
├──────────┼──────────────────┼────────┼────────────────────┼──────────────────────┤
│ 29691493 │ Ip:91.106.190.76 │ ban │ 1h50m22.051219345s │ 2023-07-25T21:01:43Z │
╰──────────┴──────────────────┴────────┴────────────────────┴──────────────────────╯
- Events :
- Date: 2023-07-25 23:01:42 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/02-Februar/21_Fr.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.106.190.76 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:42+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
- Date: 2023-07-25 23:01:42 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/02-Februar/20_Do.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.106.190.76 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:42+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
- Date: 2023-07-25 23:01:42 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/02-Februar/25_Di.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.…
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:42+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
- Date: 2023-07-25 23:01:42 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/02-Februar/24_Mo.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.106.190.76 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:42+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
- Date: 2023-07-25 23:01:42 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/02-Februar/27_Do.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.… │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:42+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
- Date: 2023-07-25 23:01:43 +0200 +0200
╭─────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ 198930 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ Vereinigte Stadtwerke Media GmbH │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ DE │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ 91.106.128.0/18 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/apache2/cloud-access.log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/files/chaas/SYNC/obsidian-piamedia/2020/03-M%C3%A4rz/10_Di.md │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Linux) mirall/3.9.0git (Nextcloud, org.kde.Platform-5.15.0-47-generic ClientArchitecture: x86_64 OsArchitecture: x86_64) │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ source_ip │ 91.…
├─────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-25T23:01:43+02:00 │
╰─────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────╯
I suspect that the whitelist does not cover response code 200 while the desktop client syncs its files.
Yeah that is the issue here is the line
- evt.Meta.http_status == '404' && evt.Meta.http_verb in ['PROPFIND', 'GET'] && evt.Meta.http_path matches '^/remote.php/(web)?dav/'
We can update it to
- evt.Meta.http_status in ['404', '200'] && evt.Meta.http_verb in ['PROPFIND', 'GET'] && evt.Meta.http_path matches '^/remote.php/(web)?dav/'
I suspect that the whitelist does not cover response code 200 while the desktop client syncs its files.
Yeah that is the issue here is the line
- evt.Meta.http_status == '404' && evt.Meta.http_verb in ['PROPFIND', 'GET'] && evt.Meta.http_path matches '^/remote.php/(web)?dav/'
We can update it to
- evt.Meta.http_status in ['404', '200'] && evt.Meta.http_verb in ['PROPFIND', 'GET'] && evt.Meta.http_path matches '^/remote.php/(web)?dav/'
Is there a Pull Request for this yet? Seems to work fine so far. -> i didnt find one, so created one :) Another false positive: When deleting lots of files in the trashbin i get blocked too.
Another false positive (LePresidente/http-generic-403-bf) I get is when synchronizing CalDAV calendars with Gnome Evolution 3.50. I also have to exclude HTTP POST requests resulting in 403 errors. Here are the alert details:
- Date: 2024-02-19 15:01:01 +0100 +0100
╭─────────────────┬────────────────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ ASNNumber │ **** │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ ASNOrg │ *************** │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ IsInEU │ true │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ IsoCode │ AT │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ SourceRange │ ***.***.*.*/** │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/log/nginx/access.log │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ http_path │ /remote.php/dav/calendars/************************************/outbox/ │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ http_status │ 403 │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ http_user_agent │ Evolution/3.50.4 │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ http_verb │ POST │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ source_ip │ ***.***.**.*** │
├─────────────────┼────────────────────────────────────────────────────────────────────────┤
│ timestamp │ 2024-02-19T15:01:01+01:00 │
╰─────────────────┴────────────────────────────────────────────────────────────────────────╯
What happened?
When setting up the Nextcloud desktop client it will sync a lot of files with the Nextcloud server. This quickly triggers crowdsecurity/http-crawl-non_statics and blocks the client.
What did you expect to happen?
Allow the sync to run through without triggering the crowdsecurity/http-crawl-non_statics
How can we reproduce it (as minimally and precisely as possible)?
Install the Nextcloud desktop client from https://nextcloud.com/install/ Put a couple of files in the sync directory and start syncing.
Anything else we need to know?
No response
Crowdsec version
OS version
Enabled collections and parsers
Acquisition config
Config show
Prometheus metrics
Related custom configs versions (if applicable) : notification plugins, custom scenarios, parsers etc.