hub
hub copied to clipboard
Published
20 hours ago •
crowdsecurity
crowdsecurity
False positive detection with Syncthing - crowdsecurity/http-crawl-non_statics
App: https://syncthing.net/ Reverse Proxy: Nginx
Due to the output of alerts it looks like its related to the rest api access, I would do a whitelist but this seems like a generic problem that might need more looking into
/ # cscli alerts inspect 3850 -d
################################################################################################
- ID : 3850
- Date : 2023-07-26T04:43:51Z
- Machine : zeusserver
- Simulation : false
- Reason : crowdsecurity/http-crawl-non_statics
- Events Count : 46
- Scope:Value : Ip:10.0.0.10
- Country :
- AS :
- Begin : 2023-07-26 04:43:48.065518363 +0000 UTC
- End : 2023-07-26 04:43:50.972769967 +0000 UTC
- UUID : 6f6ce24a-f22a-4c91-927b-12df47443053
- Active Decisions :
╭──────────┬──────────────┬────────┬───────────────────┬──────────────────────╮
│ ID │ scope:value │ action │ expiration │ created_at │
├──────────┼──────────────┼────────┼───────────────────┼──────────────────────┤
│ 37379180 │ Ip:10.0.0.10 │ ban │ 3h59m8.862804839s │ 2023-07-26T04:43:51Z │
╰──────────┴──────────────┴────────┴───────────────────┴──────────────────────╯
- Events :
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /themes.json │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰─────────────────┴──────────────────────────────────────────────────────────────╯
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /rest/cluster/pending/folders │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰─────────────────┴──────────────────────────────────────────────────────────────╯
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 89 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /rest/db/completion?device=<Secret Device ID> │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰─────────────────┴──────────────────────────────────────────────────────────────╯
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /syncthing/core/notifications.html │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 304 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰─────────────────┴──────────────────────────────────────────────────────────────╯
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /rest/system/version │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 200 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰─────────────────┴──────────────────────────────────────────────────────────────╯
- Date: 2023-07-26 06:43:50 +0200 +0200
╭─────────────────┬──────────────────────────────────────────────────────────────╮
│ Key │ Value │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ASNNumber │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ IsInEU │ false │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_path │ /var/logs/npm/proxy-host-26_access.log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ datasource_type │ file │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_args_len │ 0 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_path │ /rest/system/upgrade │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_status │ 501 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_user_agent │ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 │
│ │ (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36 │
│ │ Edg/115.0.1901.183 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ http_verb │ GET │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ log_type │ http_access-log │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ service │ http │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ source_ip │ 10.0.0.10 │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ target_fqdn │ syncthing.example.com │
├─────────────────┼──────────────────────────────────────────────────────────────┤
│ timestamp │ 2023-07-26T06:43:50+02:00 │
╰──
