Дежурный SOC-аналитик Kyzylorda Tech собрал суточный сэмпл логов с одного из веб-сервисов компании. Среди тысяч строк есть события точки входа атакующего.
Найди эту точку входа. Флаг — IP-адрес атакующего в формате ниже.
Артефакт: app-2024-09-11.log — лог веб-сервера за 11 сентября 2024 (около 8500 строк). Формат — Combined Log Format плюс корпоративные расширения.
Формат флага: flag{<IP>} (например flag{192.0.2.42})
Подсказка: легитимный трафик имеет шаблоны. Атакующий — нет.
Kyzylorda Tech-тің SOC аналитигі компанияның веб-сервисінің бір тәулікке арналған лог үлгісін жинап алыпты. Мыңдаған жолдар арасында шабуылдаушының кіріс нүктесі бар.
Сол кіріс нүктесін тап. Жалауша — шабуылдаушының IP-мекенжайы төмендегі форматта.
Артефакт: app-2024-09-11.log — 2024 жылдың 11 қыркүйегіндегі веб-сервердің логы (шамамен 8500 жол). Формат — Combined Log Format плюс корпоративтік кеңейтілген өрістер.
Жалаушаның форматы: flag{<IP>} (мысалы flag{192.0.2.42})
Кеңес: заңды трафиктің үлгісі бар. Шабуылдаушыда жоқ.
^flag\{log_triage_[a-f0-9]{16}\}$Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Не объёмные DDoS-паттерны, не топ-N IP по запросам. Класс — поведенческие аномалии в характере запросов: User-Agent, последовательность URI, time-of-day, отношение успешных к 4xx/5xx.
KK: Көлемді DDoS үлгілері емес, сұраулар бойынша топ-N IP емес. Класс — сұраулар сипатындағы мінез-құлық ауытқулары: User-Agent, URI тізбегі, time-of-day, табыстылардың 4xx/5xx-ке қатынасы.