https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Crowdsec_Configuring_Apache2_Bouncer 2026-06-17T19:04:40Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Crowdsec_Configuring_Apache2_Bouncer&diff=70384&oldid=prev 2026-05-24T10:10:57Z

<p>Die Seite wurde neu angelegt: „= CrowdSec – Apache2 HTTP Brute-Force Erkennung = == Ziel == In diesem Lab schützen wir eine Apache2-Webseite mit CrowdSec gegen HTTP-Brute-Force-Angriffe.…“</p> <p><b>Neue Seite</b></p><div>= CrowdSec – Apache2 HTTP Brute-Force Erkennung =<br /> <br /> == Ziel ==<br /> In diesem Lab schützen wir eine Apache2-Webseite mit CrowdSec gegen HTTP-Brute-Force-Angriffe.<br /> Der Angreifer versucht mit Hydra Passwörter gegen eine Login-Seite zu erraten.<br /> CrowdSec erkennt das Angriffsmuster und sperrt die Angreifer-IP automatisch — der Apache2-Bouncer liefert dem gesperrten Client eine eigene Fehlerseite aus.<br /> <br /> == Voraussetzung ==<br /> ; CrowdSec ist installiert und die Whitelist ist angepasst (siehe [[CrowdSec]])<br /> <br /> == Installation des Apache2-Bouncers ==<br /> Der Bouncer integriert sich in Apache2 und blockt erkannte IPs direkt auf Webserver-Ebene.<br /> * apt install crowdsec-apache-bouncer<br /> <br /> == Fehlerseite einrichten ==<br /> Apache liefert bei einem Ban eine eigene Fehlerseite aus statt einer kahlen 403-Seite.<br /> * wget https://xinux.de/downloads/misc/blocked.html -P /var/www/html/<br /> <br /> == Apache2 konfigurieren ==<br /> HTTP- und HTTPS-VirtualHost mit Verweis auf die Fehlerseite einrichten.<br /> * nano /etc/apache2/sites-available/vulnsite.conf<br /> <br /> &lt;pre&gt;<br /> &lt;VirtualHost *:80&gt;<br /> ServerAdmin technik@lab.int<br /> DocumentRoot /var/www/html/<br /> ErrorLog ${APACHE_LOG_DIR}/vulnsite-error.log<br /> CustomLog ${APACHE_LOG_DIR}/vulnsite-access.log combined<br /> ErrorDocument 403 /blocked.html<br /> &lt;/VirtualHost&gt;<br /> <br /> &lt;VirtualHost *:443&gt;<br /> SSLEngine on<br /> SSLCertificateFile /etc/ssl/own.crt<br /> SSLCertificateKeyFile /etc/ssl/own.key<br /> ServerAdmin technik@lab.int<br /> DocumentRoot /var/www/html/<br /> ErrorLog ${APACHE_LOG_DIR}/vulnsite-error.log<br /> CustomLog ${APACHE_LOG_DIR}/vulnsite-access.log combined<br /> ErrorDocument 403 /blocked.html<br /> &lt;/VirtualHost&gt;<br /> &lt;/pre&gt;<br /> <br /> == Konfiguration testen und Apache2 neu laden ==<br /> * apache2ctl configtest<br /> * systemctl reload apache2<br /> <br /> == Bouncer neu starten und prüfen ==<br /> Nach der Installation wird der Bouncer gestartet und der Status geprüft.<br /> * systemctl restart crowdsec-apache-bouncer<br /> * systemctl status crowdsec-apache-bouncer<br /> <br /> == Bouncer-Verbindung prüfen ==<br /> Zeigt ob der Bouncer korrekt bei CrowdSec registriert ist.<br /> * cscli bouncers list<br /> <br /> == Angriff vom Attacker durchführen ==<br /> <br /> === Passwortliste herunterladen ===<br /> * wget https://xinux.de/downloads/bad-passwords<br /> <br /> === Hydra installieren ===<br /> * apt update<br /> * apt install hydra -y<br /> <br /> === Angriff starten ===<br /> Hydra führt einen HTTP-Brute-Force-Angriff gegen die Login-Seite durch.<br /> * hydra -l christine -P bad-passwords http-post-form://10.88.2XX.11&quot;/login.php:username=^USER^&amp;password=^PASS^:Ungültige&quot; -V<br /> <br /> == Erkannte Angriffe anzeigen ==<br /> Listet alle von CrowdSec erkannten Alerts auf.<br /> * cscli alerts list<br /> <br /> == Gebannte IP-Adressen anzeigen ==<br /> Zeigt alle aktiven Sperrentscheidungen an.<br /> * cscli decisions list<br /> <br /> == Ban aufheben ==<br /> Entfernt den Ban für die Angreifer-IP manuell.<br /> * cscli decisions delete --ip 172.26.2XX.100<br /> <br /> == Live-Log beobachten ==<br /> Zeigt die laufende Analyse von CrowdSec in Echtzeit.<br /> * journalctl -u crowdsec -f</div>

Thomas.will