Hỏi về cách điều tra ứng dụng Web bị dò quét

Hi bạn dựa vào log iis bạn có thể đọc được các thông tin của attacker đã có hành vi gì đến trang web của bạn thường thì sẽ lưu tại c:\inetpub\logs\LogFiles
Tuy nhiên để chắc chắn bạn có thể vào đây để theo dõi
Mình ví dụ một đoạn log bên dưới và format của log để giải thích
#Trường: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-09-13 21:45:10 192.168.1.1 GET /webapp2 - 80 - 5.78.89.56 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 - 200 0 0 5502
2016-09-13 -> ngày
time -> thời gian
192.168.1.1 -> server ip máy chủ IIS
GET -> Client gửi lên kiểu phương thức gì
/webapp2 -> Uri client request đến
- -> cs-uri-query
80 -> cổng 80 chạy dịch vụ web
- -> cs-username
5.78.89.56 -> ip client
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 -> User Agent
- -> Referer
sc-status -> 200
0 -> substatus
0 -> sc-win32-status
5502 -> thời gian phản hồi

Sugi_b3o đã viết:

Hi bạn dựa vào log iis bạn có thể đọc được các thông tin của attacker đã có hành vi gì đến trang web của bạn thường thì sẽ lưu tại c:\inetpub\logs\LogFiles
Tuy nhiên để chắc chắn bạn có thể vào đây để theo dõi

Mình ví dụ một đoạn log bên dưới và format của log để giải thích
#Trường: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-09-13 21:45:10 192.168.1.1 GET /webapp2 - 80 - 5.78.89.56 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 - 200 0 0 5502
2016-09-13 -> ngày
time -> thời gian
192.168.1.1 -> server ip máy chủ IIS
GET -> Client gửi lên kiểu phương thức gì
/webapp2 -> Uri client request đến
- -> cs-uri-query
80 -> cổng 80 chạy dịch vụ web
- -> cs-username
5.78.89.56 -> ip client
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 -> User Agent
- -> Referer
sc-status -> 200
0 -> substatus
0 -> sc-win32-status
5502 -> thời gian phản hồi

Nhấn để mở rộng...

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

HiddenMan đã viết:

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

Nhấn để mở rộng...

Nếu người khác chạy tool scan dò quét web bạn thì cách duy nhất là qua log đó bạn phải thống kê được tần số của ip client truy cập vào máy chủ nếu 1 ip client liên tục truy cập vào máy chủ qua nhiều link của website trong 1 thời gian ngắn khoảng 1 phút thì khả năng ip client đó đang quét webiste của bạn.
Để dễ hình dung bạn nên sử dụng các tool scan web để test sau đó kiểm tra log và đối chiếu với log khi người dùng truy cập bình thường. Làm nhiều lần như vậy bạn sẽ có kỹ năng phân tích khi web bị tấn công.

HiddenMan đã viết:

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

Nhấn để mở rộng...

Bạn sẽ khai thác được các thông tin như client gửi lên URI gì, và server của bạn response lại như thế nào ? ví dụ trả kết quả về 200 trang trả thông tin của server có được, 302 server sẽ Referer đến 1 trang nào đó, từ đó bạn có thể biết được attacker có đã khai thác gì trên webserver của bạn -> sử dụng waf để ngăn chặn, limit tần suất scan của IP attacker trước khi đào sâu vào website của bạn

Sugi_b3o đã viết:

Bạn sẽ khai thác được các thông tin như client gửi lên URI gì, và server của bạn response lại như thế nào ? ví dụ trả kết quả về 200 trang trả thông tin của server có được, 302 server sẽ Referer đến 1 trang nào đó, từ đó bạn có thể biết được attacker có đã khai thác gì trên webserver của bạn -> sử dụng waf để ngăn chặn, limit tần suất scan của IP attacker trước khi đào sâu vào website của bạn

Nhấn để mở rộng...

Dạ vâng e cảm ơn ạ