Crowdsec SSH Bruteforce Beispiel: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| − | = | + | = CrowdSec SSH-Brute-Force-Erkennung und Schutz = |
| − | |||
| − | |||
| − | = | + | == Installation der SSH-Collection == |
| − | *sudo cscli | + | * sudo cscli collections install crowdsecurity/sshd |
| + | * sudo systemctl reload crowdsec | ||
| − | = | + | == Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist == |
| − | + | * sudo cscli scenarios list | grep ssh | |
| − | *sudo | ||
| − | = | + | == Installation und Aktivierung des nftables-Bouncers == |
| − | *sudo cscli | + | * sudo cscli bouncers add crowdsec-firewall-bouncer-nftables |
| + | * sudo systemctl reload crowdsec | ||
| − | = | + | == Überprüfung der erkannten SSH-Angriffe == |
| − | *sudo cscli | + | * sudo cscli alerts list |
| − | = | + | == Anzeige der gebannten IP-Adressen == |
| − | *sudo cscli decisions | + | * sudo cscli decisions list |
| − | = | + | == Detailansicht einer spezifischen IP-Adresse == |
| − | *sudo | + | * sudo cscli decisions inspect <IP-Adresse> |
| − | = | + | == Live-Log der CrowdSec-Analyse anzeigen == |
| − | *sudo | + | * sudo journalctl -u crowdsec -f |
| − | |||
| − | |||
| − | = | + | == Überprüfung der installierten Parser, Szenarien und Bouncer == |
| − | *sudo | + | * sudo cscli parsers list |
| + | * sudo cscli scenarios list | ||
| + | * sudo cscli bouncers list | ||
| − | = | + | == Überprüfung der letzten SSH-Fehlversuche == |
| − | *sudo | + | * sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20 |
| − | = | + | == Test eines Brute-Force-Angriffs mit Hydra == |
| − | |||
| − | = | + | === Installation von Hydra (falls nicht installiert) === |
| − | *sudo | + | * sudo apt install hydra -y |
| − | = | + | === Simulieren eines SSH-Brute-Force-Angriffs === |
| − | * | + | * hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V |
| − | = Eigene IP-Adresse entsperren (falls gebannt) = | + | === Überprüfung, ob CrowdSec den Angriff erkannt hat === |
| − | *sudo cscli decisions delete -i <deine-IP> | + | * sudo cscli alerts list |
| + | |||
| + | === Überprüfung, ob die angreifende IP gesperrt wurde === | ||
| + | * sudo cscli decisions list | ||
| + | |||
| + | == Eigene IP-Adresse entsperren (falls gebannt) == | ||
| + | * sudo cscli decisions delete -i <deine-IP> | ||
Version vom 8. März 2025, 08:39 Uhr
CrowdSec SSH-Brute-Force-Erkennung und Schutz
Installation der SSH-Collection
- sudo cscli collections install crowdsecurity/sshd
- sudo systemctl reload crowdsec
Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist
- sudo cscli scenarios list | grep ssh
Installation und Aktivierung des nftables-Bouncers
- sudo cscli bouncers add crowdsec-firewall-bouncer-nftables
- sudo systemctl reload crowdsec
Überprüfung der erkannten SSH-Angriffe
- sudo cscli alerts list
Anzeige der gebannten IP-Adressen
- sudo cscli decisions list
Detailansicht einer spezifischen IP-Adresse
- sudo cscli decisions inspect <IP-Adresse>
Live-Log der CrowdSec-Analyse anzeigen
- sudo journalctl -u crowdsec -f
Überprüfung der installierten Parser, Szenarien und Bouncer
- sudo cscli parsers list
- sudo cscli scenarios list
- sudo cscli bouncers list
Überprüfung der letzten SSH-Fehlversuche
- sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20
Test eines Brute-Force-Angriffs mit Hydra
Installation von Hydra (falls nicht installiert)
- sudo apt install hydra -y
Simulieren eines SSH-Brute-Force-Angriffs
- hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V
Überprüfung, ob CrowdSec den Angriff erkannt hat
- sudo cscli alerts list
Überprüfung, ob die angreifende IP gesperrt wurde
- sudo cscli decisions list
Eigene IP-Adresse entsperren (falls gebannt)
- sudo cscli decisions delete -i <deine-IP>