Что такое Apache Synapse?

Мой веб-сайт продолжает получать нечетные запросы со следующей строкой user-agent:

Mozilla/4.0 (compatible; Synapse)

Используя наш дружественный инструмент Google, я смог определить, что это визитная карточка нашего дружественного соседа Apache Synapse . «Легкий ESB (Enterprise Service Bus)».

Теперь, основываясь на этой информации, которую я смог собрать, я до сих пор не знаю, для чего этот инструмент используется. Все, что я могу сказать, это то, что это как-то связано с Web-сервисами и поддерживает множество протоколов. Страница информации только заставляет меня заключить, что она имеет какое-то отношение к прокси и веб-сервисам.

Проблема, с которой я сталкиваюсь, заключается в том, что, хотя обычно меня это не волнует, российские IP-адреса сильно поражают нас (не то, что русские плохие, но наш сайт довольно специфичен для каждого региона), и когда они это делают, ' добавив странные (не xss / вредоносные, по крайней мере, пока) значения в параметры строки запроса.

Вещи как &PageNum=-1или &Brand=25/5/2010 9:04:52 PM.

Прежде чем я начну блокировать эти ips / useragent с нашего сайта, мне нужна помощь в понимании того, что происходит.

Любая помощь будет принята с благодарностью :)

Все ли IP-адреса из определенного диапазона? Этот диапазон назначен определенной компании? Если это так, просто посмотрите, кому назначен диапазон, и свяжитесь с указанным техническим контактом.

Наиболее вероятная вещь, о которой я могу подумать, это то, что они убирают контент с вашей веб-страницы или программируют что-то, что будет очищать контент (который объясняет странные граничные условия в качестве аргументов).

Это может быть что-то менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Они могут пытаться раскрыть страницу с ошибкой, которая может вывести чувствительную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для того, чтобы предотвратить появление таких чувствительных сообщений об ошибках и других злоупотреблений.

Вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется ... хотя это ваше последнее средство.

Я почти уверен, что это не Apache Synapse, это некоторые инструменты, созданные с помощью Ararat Synapse , который является библиотекой Delphi TCP / IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый пользовательский агент, и по умолчанию:

С другой стороны, у Ararat Synapse есть этот пользовательский агент по умолчанию:

Это похоже на то, что есть в ваших журналах, и у меня точно такой же пользовательский агент, исследующий различные атаки SQL-инъекций. Вероятно, злоумышленники используют некоторые инструменты, встроенные в Delphi с библиотекой Ararat Synapse.

Так как плохие парни не меняли пользовательский агент по умолчанию, я думаю, что безопасно заблокировать этот:

Mozilla/4.0 (compatible; Synapse)

не частично, потому что вы можете заблокировать некоторые легитимные инструменты, работающие в Apache Synapse, и я считаю, что любой легитимный бот или проект определит пользовательский агент и не будет скрываться по умолчанию.

Нет смысла блокировать IP-адреса, потому что кажется, что атака идет с различных IP-адресов по всему миру, возможно, с некоторых ботнетов.

Тот же человек пытается ввести -1 в viewstate:

finder-query: -1'

Это, вероятно, автоматизированный инструмент для тестирования SQL-инъекций.

Я недавно видел, что этот пользовательский агент пришел с одного IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс)
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс)

За ним вскоре последовал явно вредоносный пользовательский агент (Хавидж):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж "

За этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, он используется для проверки сайтов, управляемых данными. Если ваш сайт не предлагает API никому, я бы заблокировал этот пользовательский агент. Возможно, используйте фильтр apache-badbots в fail2ban, чтобы заблокировать трафик с IP-адресов, которые пытаются использовать эту строку агента. И воткни туда «Хавидж», пока ты на нем.

Я проверил свою базу данных с помощью более 75 миллионов запросов, собранных нашим приложением безопасности, и обнаружил, что только пользовательский агент без URL-адреса реферера.

Кроме того, я вижу, что они поразили различные субдомены менее чем за минуту, и обычный посетитель не мог перемещаться так быстро.

Я считаю только 23 запроса для этого пользовательского агента, поэтому я заблокировал парней. Вот IP-адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Я пришел сюда после поиска этого агента пользователя. Другой IP (91.127.90.220), но тот же подход - каждое поле формы заменяется по очереди на -1 [quote].

Это единственный раз, когда я видел его использование, поэтому я согласен, что запретить это путь вперед.