Что такое Apache Synapse?


39

Мой веб-сайт продолжает получать нечетные запросы со следующей строкой user-agent:

Mozilla/4.0 (compatible; Synapse)

Используя наш дружественный инструмент Google, я смог определить, что это визитная карточка нашего дружественного соседа Apache Synapse . «Легкий ESB (Enterprise Service Bus)».

Теперь, основываясь на этой информации, которую я смог собрать, я до сих пор не знаю, для чего этот инструмент используется. Все, что я могу сказать, это то, что это как-то связано с Web-сервисами и поддерживает множество протоколов. Страница информации только заставляет меня заключить, что она имеет какое-то отношение к прокси и веб-сервисам.

Проблема, с которой я сталкиваюсь, заключается в том, что, хотя обычно меня это не волнует, российские IP-адреса сильно поражают нас (не то, что русские плохие, но наш сайт довольно специфичен для каждого региона), и когда они это делают, ' добавив странные (не xss / вредоносные, по крайней мере, пока) значения в параметры строки запроса.

Вещи как &PageNum=-1или &Brand=25/5/2010 9:04:52 PM.

Прежде чем я начну блокировать эти ips / useragent с нашего сайта, мне нужна помощь в понимании того, что происходит.

Любая помощь будет принята с благодарностью :)


2
Здесь предприимчивый пользователь ( goo.gl/baHJn ) взглянул на источник Apache Synapse. Используемый заголовок UA не соответствует тому, что показывают ваши журналы. Дальнейшие раскопки с его стороны обнаружили Араратский синапс, который использует этот заголовок.
Даг Уилсон,

См. Связанный вопрос и комментарий на этом другом сайте stackexchange, security.stackexchange.com/questions/18652/…
Funka

Всякий раз, когда я гуглю на этом пользовательском агенте, я сталкиваюсь с этим постом, так что думал, что должен поделиться некоторыми своими выводами на тот случай, если кто-то его ищет. btpro.net/blog/2013/05/black-revolution-botnet-trojan Это в основном атака ботнетом, которая не имеет (или очень мало) связана с проектом Apache Synapse.
Имран Саид

Ответы:


11

Все ли IP-адреса из определенного диапазона? Этот диапазон назначен определенной компании? Если это так, просто посмотрите, кому назначен диапазон, и свяжитесь с указанным техническим контактом.

Наиболее вероятная вещь, о которой я могу подумать, это то, что они убирают контент с вашей веб-страницы или программируют что-то, что будет очищать контент (который объясняет странные граничные условия в качестве аргументов).

Это может быть что-то менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Они могут пытаться раскрыть страницу с ошибкой, которая может вывести чувствительную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для того, чтобы предотвратить появление таких чувствительных сообщений об ошибках и других злоупотреблений.

Вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется ... хотя это ваше последнее средство.


Все ошибки сайта представлены с милой небольшой страницей «Ошибка сайта». Если они просто очищают нас, мне все равно, что в настоящее время каждый раз, когда пользователь генерирует исключение, которое не обрабатывается, оно регистрируется в электронной почте. Я получаю 100+ в день от одного этого парня. Конечно, простое решение состоит в том, чтобы обрабатывать больше ошибок, но этот движок показался мне довольно подозрительным, когда я его изучал, поэтому я был обеспокоен.
Арен Б

25

Я почти уверен, что это не Apache Synapse, это некоторые инструменты, созданные с помощью Ararat Synapse , который является библиотекой Delphi TCP / IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый пользовательский агент, и по умолчанию:

введите описание изображения здесь

С другой стороны, у Ararat Synapse есть этот пользовательский агент по умолчанию:

введите описание изображения здесь

Это похоже на то, что есть в ваших журналах, и у меня точно такой же пользовательский агент, исследующий различные атаки SQL-инъекций. Вероятно, злоумышленники используют некоторые инструменты, встроенные в Delphi с библиотекой Ararat Synapse.

Так как плохие парни не меняли пользовательский агент по умолчанию, я думаю, что безопасно заблокировать этот:

Mozilla/4.0 (compatible; Synapse)

не частично, потому что вы можете заблокировать некоторые легитимные инструменты, работающие в Apache Synapse, и я считаю, что любой легитимный бот или проект определит пользовательский агент и не будет скрываться по умолчанию.

Нет смысла блокировать IP-адреса, потому что кажется, что атака идет с различных IP-адресов по всему миру, возможно, с некоторых ботнетов.


«Любой законный бот или проект определил бы пользовательский агент и не скрывался бы по умолчанию». Нет недостатков в том, чтобы оставить строку агента пользователя по умолчанию как есть !!! Я был бы гораздо более подозрительным к неизвестному пользовательскому агенту, но вы не можете знать всех и каждого. Ваше решение (безопасное для блокировки пользовательского агента) - это просто плохая практика, как и запрет динамических IP-адресов. Боты используют самых известных или совершенно неизвестных агентов. Этот, безусловно, нет.
Даркендорф

6

Тот же человек пытается ввести -1 в viewstate:

finder-query: -1'

Это, вероятно, автоматизированный инструмент для тестирования SQL-инъекций.


Я бы даже сказал, впрысните -1 '(апостроф важен)
Билли

5

Я недавно видел, что этот пользовательский агент пришел с одного IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс)
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс)

За ним вскоре последовал явно вредоносный пользовательский агент (Хавидж):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж "

За этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, он используется для проверки сайтов, управляемых данными. Если ваш сайт не предлагает API никому, я бы заблокировал этот пользовательский агент. Возможно, используйте фильтр apache-badbots в fail2ban, чтобы заблокировать трафик с IP-адресов, которые пытаются использовать эту строку агента. И воткни туда «Хавидж», пока ты на нем.


3

Я проверил свою базу данных с помощью более 75 миллионов запросов, собранных нашим приложением безопасности, и обнаружил, что только пользовательский агент без URL-адреса реферера.

Кроме того, я вижу, что они поразили различные субдомены менее чем за минуту, и обычный посетитель не мог перемещаться так быстро.

Я считаю только 23 запроса для этого пользовательского агента, поэтому я заблокировал парней. Вот IP-адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
Вероятно, он использует ботнет. Я не думаю, что запрет этих IP-адресов поможет кому-либо.
Арен Б

2
За исключением того, что все адреса являются динамическими IP-адресами, и вы блокируете в конечном итоге платящих клиентов ...
ZaB

1

Я пришел сюда после поиска этого агента пользователя. Другой IP (91.127.90.220), но тот же подход - каждое поле формы заменяется по очереди на -1 [quote].

Это единственный раз, когда я видел его использование, поэтому я согласен, что запретить это путь вперед.


Что бы это ни стоило, Apache Synapse не подходит к такому поведению. Используемый инструмент имеет похожую строку агента. Я предлагаю вам прочитать другие ответы для получения дополнительной информации.
Арен Б
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.