Aktuelle Version vom 24. Mai 2026, 09:01 Uhr

CrowdSec – SSH Brute-Force Erkennung

Voraussetzung

CrowdSec ist installiert und die Whitelist ist angepasst.

Installation der SSH-Collection

Installiert alle Parser und Szenarien für SSH-Brute-Force-Erkennung.

cscli collections install crowdsecurity/sshd
systemctl reload crowdsec

Installation des nftables Bouncers

Der Bouncer setzt erkannte Angriffe in nftables-Regeln um und blockt die Angreifer-IP.

apt install crowdsec-firewall-bouncer-nftables

Bouncer neu starten und prüfen

Nach der Installation wird der Bouncer gestartet und der Status geprüft.

systemctl restart crowdsec-firewall-bouncer
systemctl status crowdsec-firewall-bouncer

Bouncer-Verbindung zu CrowdSec prüfen

Zeigt ob der Bouncer korrekt bei der Engine registriert ist.

cscli bouncers list

Installierte SSH-Szenarien prüfen

Filtert die Szenarienliste auf SSH-relevante Einträge.

cscli scenarios list | grep ssh

Angriff vom Attacker durchführen

Passwortliste herunterladen

wget https://xinux.de/downloads/bad-passwords

Hydra installieren

apt update
apt install hydra -y

Angriff starten

Hydra führt einen SSH-Brute-Force-Angriff gegen das Ziel durch.

hydra -l christine -P bad-passwords ssh://10.88.2XX.11 -V

Erkannte Angriffe anzeigen

Listet alle von CrowdSec erkannten und protokollierten Alerts auf.

cscli alerts list

+----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+
| ID |        value         |          reason           | country | as | decisions |               created_at                |
+----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+
| 3  | Ip:172.26.2XX.100    | crowdsecurity/ssh-slow-bf |         |    | ban:1     | 2025-03-08 10:07:24.268224992 +0000 UTC |
| 2  | Ip:172.26.2XX.100    | crowdsecurity/ssh-bf      |         |    | ban:1     | 2025-03-08 10:07:24.268879637 +0000 UTC |
+----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+

Gebannte IP-Adressen anzeigen

Zeigt alle aktiven Sperrentscheidungen der Engine an.

cscli decisions list

╭───────┬──────────┬────────────────────┬───────────────────────────┬────────┬─────────┬────┬────────┬────────────────────┬──────────╮
│  ID   │  Source  │    Scope:Value     │          Reason           │ Action │ Country │ AS │ Events │     expiration     │ Alert ID │
├───────┼──────────┼────────────────────┼───────────────────────────┼────────┼─────────┼────┼────────┼────────────────────┼──────────┤
│ 15002 │ crowdsec │ Ip:172.26.2XX.100  │ crowdsecurity/ssh-slow-bf │ ban    │         │    │ 13     │ 3h58m41.750831936s │ 3        │
╰───────┴──────────┴────────────────────┴───────────────────────────┴────────┴─────────┴────┴────────┴────────────────────┴──────────╯

Ban aufheben

Entfernt den Ban für eine bestimmte IP-Adresse manuell.

cscli decisions delete --ip 172.26.2XX.100

Live-Log der CrowdSec-Analyse

Zeigt die laufende Analyse von CrowdSec in Echtzeit.

journalctl -u crowdsec -f

Installierte Komponenten prüfen

Gibt einen Überblick über alle aktiven Parser, Szenarien und Bouncer.

cscli parsers list
cscli scenarios list
cscli bouncers list

Letzte SSH-Fehlversuche anzeigen

Filtert das Systemjournal nach fehlgeschlagenen SSH-Anmeldeversuchen.

journalctl -u ssh -g "Failed password" --no-pager | tail -n 20

@@ Zeile 1: / Zeile 1: @@
-= Installation des CrowdSec SSH-Bruteforce-Schutzes =
+= CrowdSec – SSH Brute-Force Erkennung =
+== Voraussetzung ==
+; CrowdSec ist installiert und die Whitelist ist angepasst.
 == Installation der SSH-Collection ==
-*'''sudo cscli collections install crowdsecurity/sshd'''
+Installiert alle Parser und Szenarien für SSH-Brute-Force-Erkennung.
-*'''sudo systemctl reload crowdsec'''
+* cscli collections install crowdsecurity/sshd
+* systemctl reload crowdsec
+== Installation des nftables Bouncers ==
+Der Bouncer setzt erkannte Angriffe in nftables-Regeln um und blockt die Angreifer-IP.
+* apt install crowdsec-firewall-bouncer-nftables
+== Bouncer neu starten und prüfen ==
+Nach der Installation wird der Bouncer gestartet und der Status geprüft.
+* systemctl restart crowdsec-firewall-bouncer
+* systemctl status crowdsec-firewall-bouncer
+== Bouncer-Verbindung zu CrowdSec prüfen ==
+Zeigt ob der Bouncer korrekt bei der Engine registriert ist.
+* cscli bouncers list
+== Installierte SSH-Szenarien prüfen ==
+Filtert die Szenarienliste auf SSH-relevante Einträge.
+* cscli scenarios list | grep ssh
+== Angriff vom Attacker durchführen ==
+=== Passwortliste herunterladen ===
+* wget https://xinux.de/downloads/bad-passwords
-== Neustart des Bouncers ==
+=== Hydra installieren ===
-*'''sudo systemctl restart crowdsec-firewall-bouncer'''
+* apt update
-*'''sudo systemctl status crowdsec-firewall-bouncer'''
+* apt install hydra -y
-==Überprüfen, ob der Bouncer mit CrowdSec verbunden ist==
-*'''sudo cscli bouncers list'''
+=== Angriff starten ===
-== Überprüfung der installierten SSH-Szenarien ==
+Hydra führt einen SSH-Brute-Force-Angriff gegen das Ziel durch.
-Bevor wir einen Angriff simulieren, stellen wir sicher, dass CrowdSec überhaupt SSH-Angriffe erkennt.
+* hydra -l christine -P bad-passwords ssh://10.88.2XX.11 -V
-*'''sudo cscli scenarios list | grep ssh'''
-== Auf dem Attacker starten wir nun einen Angriff==
+== Erkannte Angriffe anzeigen ==
-;Passwortliste besorgen
+Listet alle von CrowdSec erkannten und protokollierten Alerts auf.
-*wget https://xinux.de/downloads/bad-passwords
+* cscli alerts list
-;Hydra installieren
-*apt install hydra -y
-;Attacke
-*hydra -l root -P bad-passwords ssh://10.0.10.132 -V
-==Die IP sollte hier erscheinen==
-*ipset list  crowdsec-blacklists-1
- Name: crowdsec-blacklists-1
- Type: hash:net
- Revision: 7
- Header: family inet hashsize 1024 maxelem 131072 timeout 300 bucketsize 12 initval 0xadaaeb46
- Size in memory: 520
- References: 1
- Number of entries: 1
- Members:
-.168.178.102 timeout 14298
-== Überprüfung der erkannten SSH-Angriffe ==
-*'''sudo cscli alerts list'''
 <pre>
-+----+-------------------+---------------------------+---------+----+-----------+-----------------------------------------+
++----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+
-| ID |       value       |          reason           | country | as | decisions |               created_at                |
+| ID |        value         |          reason           | country | as | decisions |               created_at                |
-+----+-------------------+---------------------------+---------+----+-----------+-----------------------------------------+
++----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+
-| 3  | Ip:10.0.10.99     | crowdsecurity/ssh-slow-bf |         |    | ban:1     | 2025-03-08 10:07:24.268224992 +0000 UTC |
+| 3  | Ip:172.26.2XX.100    | crowdsecurity/ssh-slow-bf |         |    | ban:1     | 2025-03-08 10:07:24.268224992 +0000 UTC |
-| 2  | Ip:10.0.10.99     | crowdsecurity/ssh-bf      |         |    | ban:1     | 2025-03-08 10:07:24.268879637 +0000 UTC |
+| 2  | Ip:172.26.2XX.100    | crowdsecurity/ssh-bf      |         |    | ban:1     | 2025-03-08 10:07:24.268879637 +0000 UTC |
-+----+-------------------+---------------------------+---------+----+-----------+-----------------------------------------+
++----+----------------------+---------------------------+---------+----+-----------+-----------------------------------------+
 </pre>
-== Anzeige der gebannten IP-Adressen ==
+== Gebannte IP-Adressen anzeigen ==
-*'''sudo cscli decisions list'''
+Zeigt alle aktiven Sperrentscheidungen der Engine an.
+* cscli decisions list
 <pre>
-╭───────┬──────────┬───────────────┬───────────────────────────┬────────┬─────────┬────┬────────┬────────────────────┬──────────╮
+╭───────┬──────────┬────────────────────┬───────────────────────────┬────────┬─────────┬────┬────────┬────────────────────┬──────────╮
-│  ID   │  Source  │  Scope:Value  │          Reason           │ Action │ Country │ AS │ Events │     expiration     │ Alert ID │
+│  ID   │  Source  │    Scope:Value     │          Reason           │ Action │ Country │ AS │ Events │     expiration     │ Alert ID │
-├───────┼──────────┼───────────────┼───────────────────────────┼────────┼─────────┼────┼────────┼────────────────────┼──────────┤
+├───────┼──────────┼────────────────────┼───────────────────────────┼────────┼─────────┼────┼────────┼────────────────────┼──────────┤
-│ 15002 │ crowdsec │ Ip:10.0.10.99 │ crowdsecurity/ssh-slow-bf │ ban    │         │    │ 13     │ 3h58m41.750831936s │ 3        │
+│ 15002 │ crowdsec │ Ip:172.26.2XX.100  │ crowdsecurity/ssh-slow-bf │ ban    │         │    │ 13     │ 3h58m41.750831936s │ 3        │
-╰───────┴──────────┴───────────────┴───────────────────────────┴────────┴─────────┴────┴────────┴────────────────────┴──────────╯
+╰───────┴──────────┴────────────────────┴───────────────────────────┴────────┴─────────┴────┴────────┴────────────────────┴──────────╯
-duplicated entries skipped
 </pre>
-== Live-Log der CrowdSec-Analyse anzeigen ==
+== Ban aufheben ==
-*'''sudo journalctl -u crowdsec -f'''
+Entfernt den Ban für eine bestimmte IP-Adresse manuell.
+* cscli decisions delete --ip 172.26.2XX.100
+== Live-Log der CrowdSec-Analyse ==
+Zeigt die laufende Analyse von CrowdSec in Echtzeit.
+* journalctl -u crowdsec -f
-== Überprüfung der installierten Parser, Szenarien und Bouncer ==
+== Installierte Komponenten prüfen ==
-*'''sudo cscli parsers list'''
+Gibt einen Überblick über alle aktiven Parser, Szenarien und Bouncer.
-*'''sudo cscli scenarios list'''
+* cscli parsers list
-*'''sudo cscli bouncers list'''
+* cscli scenarios list
+* cscli bouncers list
-== Test: Anzeige der letzten SSH-Fehlversuche ==
+== Letzte SSH-Fehlversuche anzeigen ==
-*'''sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20'''
+Filtert das Systemjournal nach fehlgeschlagenen SSH-Anmeldeversuchen.
+* journalctl -u ssh -g "Failed password" --no-pager | tail -n 20

Crowdsec SSH Bruteforce Beispiel: Unterschied zwischen den Versionen