Crowdsec Hacker-Modus aktiviert

Aus Xinux Wiki
Version vom 7. April 2025, 10:17 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Angriffssimulation im Labor = == Vorbereitung: Logbeobachtung aktivieren == *tail -f /var/log/crowdsec.log == Verbindung zum Angreifer herstellen == *ssh a…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Angriffssimulation im Labor

Vorbereitung: Logbeobachtung aktivieren

  • tail -f /var/log/crowdsec.log

Verbindung zum Angreifer herstellen

  • ssh attacker

Notwendige Werkzeuge installieren (auf attacker)

  • apt install -y nikto hydra

SSH-Angriff testen

Brute-Force-Angriff starten (auf attacker)

  • hydra -l admin -x 1:1:a controlplane ssh

Logausgabe beobachten

Im ursprünglichen Terminal:

  • tail -f /var/log/crowdsec.log

Aktive Entscheidungen anzeigen

  • cscli decisions list

Vorbereitung für nächsten Test: Entscheidungen löschen

SSH-Entscheidungen zurücksetzen

  • cscli decisions delete --scenario crowdsecurity/ssh-bf
  • cscli decisions delete --scenario crowdsecurity/ssh-slow-bf
  • tail -f /var/log/crowdsec.log

Web-Angriff mit nikto

Portweiterleitung aktivieren (auf attacker)

  • ssh -L 0.0.0.0:8080:controlplane:80 localhost

Nikto-Scan starten (auf attacker)

Ergebnis prüfen

Im Browser auf attacker:

Hinweis: NGINX zeigt noch Standardseite

Durch die Verwendung des Stream-Modus im Bouncer wird die neue Entscheidung nur alle 10 Sekunden aktualisiert. Um die blockierte Seite zu sehen: - Browser öffnen - STRG + SHIFT + R drücken (Force Reload)

Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Hacker-Modus_aktiviert&oldid=61241