Crowdsec Hacker-Modus aktiviert: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= Angriffssimulation im Labor = == Vorbereitung: Logbeobachtung aktivieren == *tail -f /var/log/crowdsec.log == Verbindung zum Angreifer herstellen == *ssh a…“) |
|||
| Zeile 32: | Zeile 32: | ||
== Portweiterleitung aktivieren (auf attacker) == | == Portweiterleitung aktivieren (auf attacker) == | ||
| − | *ssh -L 0.0.0.0:8080:controlplane:80 localhost | + | *ssh -l xinux -L 0.0.0.0:8080:controlplane:80 localhost |
== Nikto-Scan starten (auf attacker) == | == Nikto-Scan starten (auf attacker) == | ||
Version vom 7. April 2025, 10:23 Uhr
Angriffssimulation im Labor
Vorbereitung: Logbeobachtung aktivieren
- tail -f /var/log/crowdsec.log
Verbindung zum Angreifer herstellen
- ssh attacker
Notwendige Werkzeuge installieren (auf attacker)
- apt install -y nikto hydra
SSH-Angriff testen
Brute-Force-Angriff starten (auf attacker)
- hydra -l admin -x 1:1:a controlplane ssh
Logausgabe beobachten
Im ursprünglichen Terminal:
- tail -f /var/log/crowdsec.log
Aktive Entscheidungen anzeigen
- cscli decisions list
Vorbereitung für nächsten Test: Entscheidungen löschen
SSH-Entscheidungen zurücksetzen
- cscli decisions delete --scenario crowdsecurity/ssh-bf
- cscli decisions delete --scenario crowdsecurity/ssh-slow-bf
- tail -f /var/log/crowdsec.log
Web-Angriff mit nikto
Portweiterleitung aktivieren (auf attacker)
- ssh -l xinux -L 0.0.0.0:8080:controlplane:80 localhost
Nikto-Scan starten (auf attacker)
- nikto -h http://controlplane
Ergebnis prüfen
Im Browser auf attacker:
Hinweis: NGINX zeigt noch Standardseite
Durch die Verwendung des Stream-Modus im Bouncer wird die neue Entscheidung nur alle 10 Sekunden aktualisiert. Um die blockierte Seite zu sehen: - Browser öffnen - STRG + SHIFT + R drücken (Force Reload)