0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: информационная безопасность, анализ трафика, crowdsec</p>
1
<p>Теги: информационная безопасность, анализ трафика, crowdsec</p>
2
<p>Представим ситуацию, что вы только что установили<a>CrowdSec</a>, но как понять, что все работает? Один из вариантов -- сымитировать сканирование web-приложений через wapiti с внешнего хоста ATTACKER.</p>
2
<p>Представим ситуацию, что вы только что установили<a>CrowdSec</a>, но как понять, что все работает? Один из вариантов -- сымитировать сканирование web-приложений через wapiti с внешнего хоста ATTACKER.</p>
3
<p>Приступим:</p>
3
<p>Приступим:</p>
4
<p>Из лога можно заметить, что CrowdSec нашел 2 сценария атак: -<strong>Crowdsecurity / http-path-traversal-probing</strong>- это стандартные попытки обхода в URI либо параметрах GET; -<strong>Crowdsecurity / http-sqli-probbing-detection</strong>- а это уже попытки проверки SQL-инъекций в URI либо параметрах GET.</p>
4
<p>Из лога можно заметить, что CrowdSec нашел 2 сценария атак: -<strong>Crowdsecurity / http-path-traversal-probing</strong>- это стандартные попытки обхода в URI либо параметрах GET; -<strong>Crowdsecurity / http-sqli-probbing-detection</strong>- а это уже попытки проверки SQL-инъекций в URI либо параметрах GET.</p>
5
<p>В результате даже безобидный скан пустого nginx-сервера позволил обнаружить 2 атаки. Если же речь бы шла о реальном сайте, то сканер бы нашел много других манипуляций, обычно происходящих при атаках web-сервера.</p>
5
<p>В результате даже безобидный скан пустого nginx-сервера позволил обнаружить 2 атаки. Если же речь бы шла о реальном сайте, то сканер бы нашел много других манипуляций, обычно происходящих при атаках web-сервера.</p>
6
<h2>А что насчет cscli?</h2>
6
<h2>А что насчет cscli?</h2>
7
<p>Проверить результаты можно и с помощью cscli -- утилиты командной строки, которая, по сути, является главным способом взаимодействия с CrowdSec. Кроме всего прочего, посредством cscli можно отслеживать как текущие решения, так и прошлые предупреждения:</p>
7
<p>Проверить результаты можно и с помощью cscli -- утилиты командной строки, которая, по сути, является главным способом взаимодействия с CrowdSec. Кроме всего прочего, посредством cscli можно отслеживать как текущие решения, так и прошлые предупреждения:</p>
8
<p>Применяя команду<strong>cscli decisions list</strong>, вы сможете просмотреть все решения, которые приняты за время работы системы, ну а<strong>cscli alerts list</strong>покажет перечень прошлых алертов даже в том случае, если срок действия решения уже заэкспайрился либо на алерт не последовало никакой реакции.</p>
8
<p>Применяя команду<strong>cscli decisions list</strong>, вы сможете просмотреть все решения, которые приняты за время работы системы, ну а<strong>cscli alerts list</strong>покажет перечень прошлых алертов даже в том случае, если срок действия решения уже заэкспайрился либо на алерт не последовало никакой реакции.</p>
9
<p>Для получения же полной информации по принятому решению вы можете вызвать его лог, используя команду<strong>cscli alerts inspect -d</strong><ID> (ID решения показывается в левой колонке):</p>
9
<p>Для получения же полной информации по принятому решению вы можете вызвать его лог, используя команду<strong>cscli alerts inspect -d</strong><ID> (ID решения показывается в левой колонке):</p>
10
<p>Остается добавить, что cscli также позволяет увидеть, какие конкретно парсеры и сценарии были инсталлированы по умолчанию (cscli hub list):</p>
10
<p>Остается добавить, что cscli также позволяет увидеть, какие конкретно парсеры и сценарии были инсталлированы по умолчанию (cscli hub list):</p>
11
<p>Хотите знать больше? Добро пожаловать на<a>специализированный курс по реверс-инжинирингу</a>в Otus!</p>
11
<p>Хотите знать больше? Добро пожаловать на<a>специализированный курс по реверс-инжинирингу</a>в Otus!</p>
12
<p><em>По материалам https://tproger.ru/articles/ddos-ne-vopros-zashhishhaem-internet-proekty-ot-kiberatak/.</em></p>
12
<p><em>По материалам https://tproger.ru/articles/ddos-ne-vopros-zashhishhaem-internet-proekty-ot-kiberatak/.</em></p>
13
13