Hỏi về cách điều tra ứng dụng Web bị dò quét

Thảo luận trong 'Hỏi đáp' bắt đầu bởi HiddenMan, 18/03/20, 09:03 PM.

  1. HiddenMan

    HiddenMan Member

    Tham gia: 18/03/20, 08:03 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Các anh cho e hỏi nếu ứng dụng Web của mình bị dò quét. Mình muốn xem thời gian và IP đã dò quét máy mình bằng Log IIS thì có thể có những cách nào ạ? Và nếu gặp trường hợp ứng dụng Web của mình bị dò quét thì có thể điều tra thêm những gì hữu ích ạ? E cảm ơn ạ.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 340
    Đã được thích: 263
    Điểm thành tích:
    63
    Hi bạn dựa vào log iis bạn có thể đọc được các thông tin của attacker đã có hành vi gì đến trang web của bạn thường thì sẽ lưu tại c:\inetpub\logs\LogFiles
    Tuy nhiên để chắc chắn bạn có thể vào đây để theo dõi
    [​IMG]
    [​IMG]
    Mình ví dụ một đoạn log bên dưới và format của log để giải thích
    #Trường: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
    2016-09-13 21:45:10 192.168.1.1 GET /webapp2 - 80 - 5.78.89.56 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 - 200 0 0 5502
    2016-09-13 -> ngày
    time -> thời gian
    192.168.1.1 -> server ip máy chủ IIS
    GET -> Client gửi lên kiểu phương thức gì
    /webapp2 -> Uri client request đến
    - -> cs-uri-query
    80 -> cổng 80 chạy dịch vụ web
    - -> cs-username
    5.78.89.56 -> ip client
    Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 -> User Agent
    - -> Referer
    sc-status -> 200
    0 -> substatus
    0 -> sc-win32-status
    5502 -> thời gian phản hồi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    DiepNV88 thích bài này.
  3. HiddenMan

    HiddenMan Member

    Tham gia: 18/03/20, 08:03 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,508
    Đã được thích: 319
    Điểm thành tích:
    83
    Nếu người khác chạy tool scan dò quét web bạn thì cách duy nhất là qua log đó bạn phải thống kê được tần số của ip client truy cập vào máy chủ nếu 1 ip client liên tục truy cập vào máy chủ qua nhiều link của website trong 1 thời gian ngắn khoảng 1 phút thì khả năng ip client đó đang quét webiste của bạn.
    Để dễ hình dung bạn nên sử dụng các tool scan web để test sau đó kiểm tra log và đối chiếu với log khi người dùng truy cập bình thường. Làm nhiều lần như vậy bạn sẽ có kỹ năng phân tích khi web bị tấn công.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HiddenMan thích bài này.
  5. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 340
    Đã được thích: 263
    Điểm thành tích:
    63
    Bạn sẽ khai thác được các thông tin như client gửi lên URI gì, và server của bạn response lại như thế nào ? ví dụ trả kết quả về 200 trang trả thông tin của server có được, 302 server sẽ Referer đến 1 trang nào đó, từ đó bạn có thể biết được attacker có đã khai thác gì trên webserver của bạn -> sử dụng waf để ngăn chặn, limit tần suất scan của IP attacker trước khi đào sâu vào website của bạn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    HiddenMan thích bài này.
  6. HiddenMan

    HiddenMan Member

    Tham gia: 18/03/20, 08:03 PM
    Bài viết: 7
    Đã được thích: 0
    Điểm thành tích:
    1
    Dạ vâng e cảm ơn ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan