O que é o Apache Synapse?

38

Meu site está sendo atingido por solicitações estranhas com a seguinte string de agente do usuário:

Mozilla/4.0 (compatible; Synapse)

Usando nossa ferramenta amigável Google , pude determinar que esse é o cartão de visita da nossa simpática vizinhança Apache Synapse . Um 'ESB leve (Enterprise Service Bus)'.

Agora, com base nessas informações eu consegui reunir, ainda não tenho ideia de como essa ferramenta é usada. Tudo o que posso dizer é que isso tem algo a ver com os serviços da Web e suporta uma variedade de protocolos. A página de informações só me leva a concluir que tem algo a ver com proxies e serviços da web.

O problema que enfrentei é que, embora normalmente eu não me importasse, estamos sendo atingidos por IPs russos (não que os russos sejam ruins, mas nosso site é bem regional), e quando eles estão empurrando valores estranhos (não xss / maliciosos, pelo menos ainda não) para nossos parâmetros de string de consulta.

Coisas como &PageNum=-1 ou &Brand=25/5/2010 9:04:52 PM .

Antes de ir em frente e bloquear esses ips / useragent do nosso site, gostaria de receber ajuda para entender o que está acontecendo.

Qualquer ajuda seria muito apreciada:)

    
por Aren B 28.05.2010 / 00:31

6 respostas

11

Todos os IPs são de um intervalo específico? Esse intervalo é atribuído a uma empresa específica? Se estiver, basta pesquisar a quem o intervalo está atribuído e entrar em contato com o contato técnico listado.

A coisa mais provável que posso pensar é que eles estão raspando o conteúdo da sua página da Web ou programando algo que vai raspar o conteúdo (o que explica as condições de contorno estranhas como argumentos).

Poderia ser algo um pouco menos inocente, não sei quais dados você está tentando proteger (pode valer alguma coisa). Eles podem estar tentando expor uma página de erro que pode despejar informações de depuração sensatas. Se esse for o caso, sugiro configurar um firewall de aplicativo da web. Eles são feitos para evitar que esse tipo de mensagem de erro sensível e outros abusos aconteçam.

Você poderia simplesmente tentar banir os intervalos de IP e ver quem reclama ... embora esse seja seu último recurso.

    
por 28.05.2010 / 00:56
25

Tenho certeza de que esse não é Apache Synapse, mas algumas ferramentas criadas com Ararat Synapse , que é uma biblioteca TCP / IP Delphi . Eu baixei o código-fonte de ambos os projetos, e até onde posso ver, o Apache Synapse tem um user-agent configurável, e o padrão é:

Poroutrolado,oAraratSynapsetemesseagentedeusuáriopadrão:

É como o que você tem em seus logs, e eu tenho exatamente o mesmo agente de usuário investigando vários ataques de injeção de SQL. Provavelmente os atacantes estão usando algumas ferramentas construídas no Delphi com a biblioteca do Ararat Synapse.

Como os bandidos não alteraram o agente de usuário padrão, acho que é seguro bloquear esse:

Mozilla/4.0 (compatible; Synapse)

não parcialmente porque você pode bloquear algumas ferramentas legítimas em execução no Apache Synapse, e acredito que qualquer bot ou projeto legítimo definiria um user-agent e não ocultaria com o padrão.

Não há ponto de bloqueio de IPs porque parece que o ataque é proveniente de vários endereços IP em todo o mundo, provavelmente alguns botnets.

    
por 04.10.2013 / 00:25
6

Mesma pessoa tentando injetar -1 na viewstate:

finder-query: -1'

É provavelmente uma ferramenta de teste de injeção SQL automatizada.

    
por 13.11.2010 / 06:26
5

Eu vi recentemente esse agente do usuário vindo de um IP:

217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

Em pouco tempo, foi seguido por um agente de usuário mal-intencionado definitivamente (Havij):

217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

Isso foi seguido por várias tentativas de injeção de SQL.

A sinapse não é maliciosa por si só, mas parece estar sendo usada para investigar websites orientados a dados. Se o seu site não oferecer uma API para ninguém, eu bloquearia esse agente do usuário. Talvez use o filtro apache-badbots no fail2ban para bloquear o tráfego de endereços IP que tentam usar essa cadeia de agente. E cole 'Havij' lá dentro, enquanto você está nisso.

    
por 09.03.2012 / 12:54
3

Eu verifiquei meu banco de dados com mais de 75 milhões de solicitações reunidas pelo nosso aplicativo de segurança e só encontrei o agente do usuário sem qualquer URL referenciador.

Além disso, vejo que eles atingiram vários subdomínios em menos de um minuto e um visitante normal não conseguiu navegar tão rapidamente.

Eu conto apenas 23 solicitações para esse agente de usuário, então bloqueei os caras. Aqui os endereços IP dos meus sites:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
    
por 30.10.2010 / 00:14
1

Eu vim aqui depois de procurar por esse agente de usuário. Um IP diferente (91.127.90.220) mas a mesma abordagem - cada campo de um formulário substituído por sua vez por -1 [quote].

É a única vez que eu já vi isso, então eu concordo que proibir isso é o caminho a seguir.

    
por 12.09.2013 / 20:52