Range: Danas
2026-04-17 00:00 → 2026-04-18 00:00
crowdsecurity/http-probing
HTTP probing / scanning
MED
Severity
Scan (skeniranje)
Primeri iz baze (poslednja 3 događaja u izabranom opsegu)
Ovo su realni zapisi iz tvoje baze za scenario crowdsecurity/http-probing. Izvor može biti:
hit (cs_hits) ili decision-only (cs_decisions).
| Time | IP | Source | Service | User/Origin | Geo/ISP |
|---|---|---|---|---|---|
| Nema događaja za ovaj scenario u izabranom vremenskom opsegu. | |||||
Tip: Ako vidiš decision-only, to znači da odluka postoji, ali možda nema hitova u cs_hits (npr. custom skripta ili cscli).
Napadni lanac (Attack chain)
Većina napada prolazi kroz faze. Nisu sve faze uvek prisutne, ali ovako je lakše razumeti “šta ide posle čega”.
| Faza | Šta napadač radi | Šta mi radimo | Ovaj scenario |
|---|---|---|---|
| Recon (izviđanje) | Traži ciljeve: domen, portovi, tehnologije, “ko je ko”. | Monitoring, minimalna izloženost, sakrivanje admin putanja, basic hardening. | RECON |
| Scan (skeniranje) | Testira endpoint-e, URL-ove, verzije, konfiguraciju. | WAF, rate-limit, update, isključi nepotrebno, dobri logovi. | SCAN |
| Exploit (iskorišćavanje) | Pokušava provalu: brute force, CVE exploit, RCE, upload webshell… | Patch, jake lozinke/ključevi, MFA, izolacija servisa, najmanje privilegije. | EXPLOIT |
| Abuse (zloupotreba) | Koristi kompromitaciju ili resurse: spam, proxy, DDoS, botnet aktivnosti. | Blokada, rate-limit, Cloudflare, incident response, forenzika. | ABUSE |
Za ovaj scenario najviše odgovara faza: Scan (skeniranje).
Severity legenda (za učenike)
| Nivo | Značenje | Tipični primeri |
|---|---|---|
| LOW | Izviđanje ili slabi signal napada | loš User-Agent, sporadično skeniranje |
| MED | Aktivno skeniranje ili pokušaj pronalaska ranjivosti | HTTP probing, open proxy testiranje |
| HIGH | Direktan napad / pokušaj kompromitacije / opterećenje | SSH brute force, CVE probing, DDoS/flood |
Šta je ovo?
Automatsko isprobavanje URL-ova i endpointa (admin paneli, backup fajlovi, poznate putanje).
Zašto je važno?
Napadač traži lošu konfiguraciju ili ranjivosti.
Šta radimo (odbrana)?
Ograniči admin, update, WAF, ukloni nepotrebno, zabrani listanje.
Pitanja za učenike
Odgovori kratko, u 2–3 rečenice.
- Šta znači “probing” i po čemu se razlikuje od normalnog browsovanja?
- Zašto su /admin, /backup ili /phpinfo često meta skeniranja?
- Navedi 2 dobre prakse da se smanji uspeh probing-a.
Mini zadatak (praksa)
Predlog za laboratorijsku vežbu (bez napadanja realnih sistema):
- Nađi ovaj scenario u dashboardu (Attacks ili Decisions) i identifikuj 1 IP i 1 vreme događaja.
- Otvori IP profile i uporedi: da li ima hitove (cs_hits) i da li ima odluku (cs_decisions)?
- Zaključi: da li je ovo “signal izviđanja”, “sken”, “pokušaj provale” ili “zloupotreba”.