Crowdsec SSH Bruteforce Beispiel
Version vom 7. März 2025, 15:02 Uhr von Thomas.will (Diskussion | Beiträge) (→Installation und Aktivierung des nftables-Bouncers)
Installation der SSH-Collection
- sudo cscli collections install crowdsecurity/sshd
- sudo systemctl reload crowdsec
Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist
- sudo cscli scenarios list | grep ssh
Installation und Aktivierung des nftables-Bouncers
- = Hinzufügen des nftables-Bouncers =
- sudo cscli bouncers add crowdsec-firewall-bouncer-nftables
- sudo systemctl reload crowdsec
Überprüfung der erkannten SSH-Angriffe
- sudo cscli alerts list
Anzeige der gebannten IP-Adressen
- sudo cscli decisions list
Detailansicht einer spezifischen IP-Adresse
- sudo cscli decisions inspect <IP-Adresse>
Live-Log der CrowdSec-Analyse anzeigen
- sudo journalctl -u crowdsec -f
Überprüfung der installierten Parser, Szenarien und Bouncer
- sudo cscli parsers list
- sudo cscli scenarios list
- sudo cscli bouncers list
Anzeige der letzten SSH-Fehlversuche
- sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20
Installation von Hydra (falls nicht installiert)
- sudo apt install hydra -y
Simulieren eines SSH-Brute-Force-Angriffs mit Hydra
- hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V
Überprüfung, ob CrowdSec den Angriff erkannt hat
- sudo cscli alerts list
Überprüfung, ob die angreifende IP gesperrt wurde
- sudo cscli decisions list
Eigene IP-Adresse entsperren (falls gebannt)
- sudo cscli decisions delete -i <deine-IP>