Range: Danas
2026-03-15 00:00 → 2026-03-16 00:00
crowdsecurity/ssh-bf
SSH brute force
HIGH
Severity
Exploit (iskorišćavanje)
Primeri iz baze (poslednja 3 događaja u izabranom opsegu)
Ovo su realni zapisi iz tvoje baze za scenario crowdsecurity/ssh-bf. Izvor može biti:
hit (cs_hits) ili decision-only (cs_decisions).
| Time | IP | Source | Service | User/Origin | Geo/ISP |
|---|---|---|---|---|---|
| 2026-03-15 01:27:32 | 91.202.233.33 | decision-only | decisions | crowdsec |
TM
Prospero Ooo
|
| 2026-03-15 01:27:31 | 91.202.233.33 | hit | ssh | oracle |
TM
Prospero Ooo
|
| 2026-03-15 01:27:29 | 91.202.233.33 | hit | ssh |
TM
Prospero Ooo
|
Tip: Ako vidiš decision-only, to znači da odluka postoji, ali možda nema hitova u cs_hits (npr. custom skripta ili cscli).
Napadni lanac (Attack chain)
Većina napada prolazi kroz faze. Nisu sve faze uvek prisutne, ali ovako je lakše razumeti “šta ide posle čega”.
| Faza | Šta napadač radi | Šta mi radimo | Ovaj scenario |
|---|---|---|---|
| Recon (izviđanje) | Traži ciljeve: domen, portovi, tehnologije, “ko je ko”. | Monitoring, minimalna izloženost, sakrivanje admin putanja, basic hardening. | RECON |
| Scan (skeniranje) | Testira endpoint-e, URL-ove, verzije, konfiguraciju. | WAF, rate-limit, update, isključi nepotrebno, dobri logovi. | SCAN |
| Exploit (iskorišćavanje) | Pokušava provalu: brute force, CVE exploit, RCE, upload webshell… | Patch, jake lozinke/ključevi, MFA, izolacija servisa, najmanje privilegije. | EXPLOIT |
| Abuse (zloupotreba) | Koristi kompromitaciju ili resurse: spam, proxy, DDoS, botnet aktivnosti. | Blokada, rate-limit, Cloudflare, incident response, forenzika. | ABUSE |
Za ovaj scenario najviše odgovara faza: Exploit (iskorišćavanje).
Severity legenda (za učenike)
| Nivo | Značenje | Tipični primeri |
|---|---|---|
| LOW | Izviđanje ili slabi signal napada | loš User-Agent, sporadično skeniranje |
| MED | Aktivno skeniranje ili pokušaj pronalaska ranjivosti | HTTP probing, open proxy testiranje |
| HIGH | Direktan napad / pokušaj kompromitacije / opterećenje | SSH brute force, CVE probing, DDoS/flood |
Šta je ovo?
Veliki broj pokušaja prijave na SSH (razni user/pass).
Zašto je važno?
Cilj je provala naloga (slabe lozinke) ili enumeracija korisnika.
Šta radimo (odbrana)?
SSH ključevi, isključi password auth, allowlist, CrowdSec, MFA gde može.
Pitanja za učenike
Odgovori kratko, u 2–3 rečenice.
- Šta je brute force i zašto je opasan kod slabih lozinki?
- Koja je razlika: SSH login lozinka vs SSH ključ?
- Navedi 3 mere zaštite SSH servisa.
Mini zadatak (praksa)
Predlog za laboratorijsku vežbu (bez napadanja realnih sistema):
- Nađi ovaj scenario u dashboardu (Attacks ili Decisions) i identifikuj 1 IP i 1 vreme događaja.
- Otvori IP profile i uporedi: da li ima hitove (cs_hits) i da li ima odluku (cs_decisions)?
- Zaključi: da li je ovo “signal izviđanja”, “sken”, “pokušaj provale” ili “zloupotreba”.