Hỏi về cách điều tra ứng dụng Web bị dò quét

[HiddenMan]

Các anh cho e hỏi nếu ứng dụng Web của mình bị dò quét. Mình muốn xem thời gian và IP đã dò quét máy mình bằng Log IIS thì có thể có những cách nào ạ? Và nếu gặp trường hợp ứng dụng Web của mình bị dò quét thì có thể điều tra thêm những gì hữu ích ạ? E cảm ơn ạ.

 

Hi bạn dựa vào log iis bạn có thể đọc được các thông tin của attacker đã có hành vi gì đến trang web của bạn thường thì sẽ lưu tại c:\inetpub\logs\LogFiles
Tuy nhiên để chắc chắn bạn có thể vào đây để theo dõi

Mình ví dụ một đoạn log bên dưới và format của log để giải thích
#Trường: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-09-13 21:45:10 192.168.1.1 GET /webapp2 - 80 - 5.78.89.56 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 - 200 0 0 5502
2016-09-13 -> ngày
time -> thời gian
192.168.1.1 -> server ip máy chủ IIS
GET -> Client gửi lên kiểu phương thức gì
/webapp2 -> Uri client request đến
- -> cs-uri-query
80 -> cổng 80 chạy dịch vụ web
- -> cs-username
5.78.89.56 -> ip client
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 -> User Agent
- -> Referer
sc-status -> 200
0 -> substatus
0 -> sc-win32-status
5502 -> thời gian phản hồi

 

Hi bạn dựa vào log iis bạn có thể đọc được các thông tin của attacker đã có hành vi gì đến trang web của bạn thường thì sẽ lưu tại c:\inetpub\logs\LogFiles
Tuy nhiên để chắc chắn bạn có thể vào đây để theo dõi

Mình ví dụ một đoạn log bên dưới và format của log để giải thích
#Trường: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2016-09-13 21:45:10 192.168.1.1 GET /webapp2 - 80 - 5.78.89.56 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 - 200 0 0 5502
2016-09-13 -> ngày
time -> thời gian
192.168.1.1 -> server ip máy chủ IIS
GET -> Client gửi lên kiểu phương thức gì
/webapp2 -> Uri client request đến
- -> cs-uri-query
80 -> cổng 80 chạy dịch vụ web
- -> cs-username
5.78.89.56 -> ip client
Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/52.0.2743.116+Safari/537.36 -> User Agent
- -> Referer
sc-status -> 200
0 -> substatus
0 -> sc-win32-status
5502 -> thời gian phản hồi

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

 

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

Nếu người khác chạy tool scan dò quét web bạn thì cách duy nhất là qua log đó bạn phải thống kê được tần số của ip client truy cập vào máy chủ nếu 1 ip client liên tục truy cập vào máy chủ qua nhiều link của website trong 1 thời gian ngắn khoảng 1 phút thì khả năng ip client đó đang quét webiste của bạn.
Để dễ hình dung bạn nên sử dụng các tool scan web để test sau đó kiểm tra log và đối chiếu với log khi người dùng truy cập bình thường. Làm nhiều lần như vậy bạn sẽ có kỹ năng phân tích khi web bị tấn công.

 

Em cảm ơn a đã hướng dẫn rất chi tiết. Vị trí log em cũng đã biết rồi. Ở đây e đang muốn hỏi từ log iis thì có thể khai thác/ điều tra được gì? Ý e hỏi đây là dấu hiệu bất thường ạ

Bạn sẽ khai thác được các thông tin như client gửi lên URI gì, và server của bạn response lại như thế nào ? ví dụ trả kết quả về 200 trang trả thông tin của server có được, 302 server sẽ Referer đến 1 trang nào đó, từ đó bạn có thể biết được attacker có đã khai thác gì trên webserver của bạn -> sử dụng waf để ngăn chặn, limit tần suất scan của IP attacker trước khi đào sâu vào website của bạn

 

Bạn sẽ khai thác được các thông tin như client gửi lên URI gì, và server của bạn response lại như thế nào ? ví dụ trả kết quả về 200 trang trả thông tin của server có được, 302 server sẽ Referer đến 1 trang nào đó, từ đó bạn có thể biết được attacker có đã khai thác gì trên webserver của bạn -> sử dụng waf để ngăn chặn, limit tần suất scan của IP attacker trước khi đào sâu vào website của bạn

Dạ vâng e cảm ơn ạ