Co to jest Apache Synapse?

39

Moja witryna wciąż trafia się z powodu nieparzystych żądań z następującym ciągiem klienta użytkownika:

Mozilla/4.0 (compatible; Synapse)

Za pomocą naszego przyjaznego narzędzia Google udało mi się ustalić, że jest to wizytówka naszej przyjaznej dzielnicy Apache Synapse . „Lekka magistrala ESB (Enterprise Service Bus)”.

Teraz, w oparciu o te informacje, które udało mi się zebrać, nadal nie mam pojęcia, do czego służy to narzędzie. Mogę tylko powiedzieć, że ma to coś wspólnego z usługami internetowymi i obsługuje wiele protokołów. Strona Info prowadzi mnie tylko do wniosku, że ma coś wspólnego z serwerami proxy i usługami internetowymi.

Problem, na który natrafiłem, jest taki, że chociaż normalnie nie dbam o to, rosyjskie adresy IP dość mocno nas uderzają (nie że rosyjskie są złe, ale nasza strona jest dość specyficzna regionalnie), a kiedy to robią, „ przerzucanie wierd (nie xss / złośliwych, przynajmniej jeszcze nie) wartości do parametrów ciągu zapytania.

Rzeczy takie jak &PageNum=-1lub &Brand=25/5/2010 9:04:52 PM.

Zanim zacznę blokować te ips / useragent z naszej witryny, chciałbym pomóc w zrozumieniu, co się dzieje.

Każda pomoc będzie mile widziana :)

Aren B.
źródło
2
Przedsiębiorczy użytkownik tutaj ( goo.gl/baHJn ) spojrzał na źródło Apache Synapse. Używany nagłówek UA nie pasuje do tego, co pokazują twoje logi. Dalsze kopanie z jego strony ujawniło Ararat Synapse, który używa tego nagłówka.
Doug Wilson,
Zobacz powiązane pytanie i komentarz na tej drugiej stronie
Funka
Ilekroć korzystam z Google w tym kliencie użytkownika, trafiam na ten post, więc pomyślałem, że powinienem udostępnić niektóre z moich odkryć na wypadek, gdyby ktoś go szukał. btpro.net/blog/2013/05/black-revolution-botnet-trojan Jest to głównie atak botnetowy i nie ma nic (lub bardzo mało) wspólnego z projektem Apache Synapse.
Imran Saeed,

Odpowiedzi:

11

Czy wszystkie adresy IP należą do określonego zakresu? Czy ten zakres jest przypisany do konkretnej firmy? Jeśli tak, po prostu sprawdź, do kogo jest przypisany zakres i skontaktuj się z kontaktem technicznym na liście.

Najbardziej prawdopodobną rzeczą, o której mogę myśleć, jest to, że usuwają one zawartość ze strony lub programują coś, co zeskrobuje zawartość (co tłumaczy dziwne warunki brzegowe jako argumenty).

Może to być coś mniej niewinnego, nie wiem, jakie dane próbujesz chronić (może być coś warte). Mogą próbować wyświetlić stronę błędu, która może zrzucić sensowne informacje debugowania. W takim przypadku sugerowałbym skonfigurowanie zapory sieciowej. Zostały stworzone, aby zapobiegać tego rodzaju wrażliwym komunikatom o błędach i innym nadużyciom.

Możesz po prostu spróbować zablokować zakresy adresów IP i zobaczyć, kto narzeka ... chociaż to twoja ostatnia deska ratunku.

Daisetsu
źródło
Wszystkie błędy witryny są przedstawiane z ładną małą stroną „Błąd witryny”. Jeśli tylko nas zdrapują, nie obchodzi mnie to, że obecnie za każdym razem, gdy użytkownik generuje wyjątek, który nie jest obsługiwany, jest on rejestrowany w wiadomości e-mail. Sam dostaję ponad 100 dziennie od tego faceta. Oczywiście najprostszym rozwiązaniem jest poradzenie sobie z większą liczbą błędów, ale ten silnik wydawał się dość podejrzany, kiedy go zaglądałem, więc byłem zaniepokojony.
Aren B
25

Jestem całkiem pewien, że to nie jest Apache Synapse, to niektóre narzędzia zbudowane z Ararat Synapse , która jest biblioteką Delphi TCP / IP. Pobrałem kod źródłowy z obu projektów i o ile widzę, Apache Synapse ma konfigurowalnego klienta użytkownika, a domyślnie:

wprowadź opis zdjęcia tutaj

Z drugiej strony Ararat Synapse ma domyślnego klienta użytkownika:

wprowadź opis zdjęcia tutaj

To jest tak jak ten, który masz w swoich logach, a ja mam dokładnie tego samego agenta użytkownika, który sonduje różne ataki iniekcji SQL. Prawdopodobnie napastnicy używają narzędzi wbudowanych w Delphi z biblioteką Ararat Synapse.

Ponieważ złoczyńcy nie zmienili domyślnego klienta użytkownika, myślę, że można bezpiecznie zablokować ten:

Mozilla/4.0 (compatible; Synapse)

nie częściowo, ponieważ możesz zablokować niektóre legalne narzędzia działające na Apache Synapse i uważam, że każdy legalny bot lub projekt zdefiniowałby klienta użytkownika i nie ukrywałby się domyślnie.

Nie ma sensu blokować adresów IP, ponieważ wygląda na to, że atak pochodzi z różnych adresów IP na całym świecie, prawdopodobnie niektórych botnetów.

Antonio Bakula
źródło
„każdy legalny bot lub projekt zdefiniowałby klienta użytkownika i nie ukrywałby się domyślnie”. Nie ma żadnych wad w dopuszczaniu domyślnego ciągu agenta użytkownika takim, jaki jest !!! Byłbym bardziej podejrzliwy wobec nieznanego agenta użytkownika, ale nie znasz każdego z nich. Twoje rozwiązanie (bezpieczny do zablokowania klienta użytkownika) jest czystą złą praktyką, podobnie jak banowanie dynamicznych adresów IP. Boty używają najbardziej znanych lub całkowicie nieznanych agentów. Ten zdecydowanie nie jest.
Darkendorf,
6

Ta sama osoba próbuje wstrzyknąć -1 do stanu widoku:

finder-query: -1'

Prawdopodobnie jest to automatyczne narzędzie do testowania iniekcji SQL.

cichy
źródło
Powiedziałbym nawet, wstrzyknij -1 '(ważny jest apostrof)
billy
5

Ostatnio widziałem tego User-Agent pochodzącego z jednego adresu IP:

217.35.nn.nn - - [21 / lut / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatybilny ; Synapse) ”
217.35.nn.nn - - [21 / lut / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatybilny ; Synapse) ”

Wkrótce potem pojawił się zdecydowanie złośliwy agent użytkownika (Havij):

217.35.nn.nn - - [21 / lut / 2012: 10: 44: 26 +0000] „GET /view/pubcal.php?event=1 HTTP / 1.1” 200 6627 ”-„ „Mozilla / 4.0 (kompatybilny; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / lut / 2012: 10: 44: 26 +0000] „GET /view/pubcal.php?event=999999.9 HTTP / 1.1” 200 2235 ”-„ „Mozilla / 4.0 (kompatybilny; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Następnie wykonano kilka prób wstrzyknięcia SQL.

Synapse sam w sobie nie jest złośliwy, ale wydaje się, że jest wykorzystywany do badania stron internetowych opartych na danych. Jeśli witryna nie oferuje interfejsu API nikomu, zablokowałbym tego agenta użytkownika. Być może użyj filtra apache-badbots w fail2ban, aby zablokować ruch z adresów IP, które próbują użyć tego ciągu agenta. I włóż tam również „Havij”, kiedy będziesz przy nim.

Adam Thompson
źródło
3

Sprawdziłem moją bazę danych z ponad 75 milionami żądań zebranych przez naszą aplikację bezpieczeństwa i znalazłem tylko tego użytkownika użytkownika bez adresu URL strony odsyłającej.

Widzę też, że uderzyły one w różne subdomeny w mniej niż minutę i normalny gość nie mógł tak szybko nawigować.

Liczę tylko 23 żądania dla tego agenta użytkownika, więc zablokowałem facetów. Oto adresy IP z moich stron:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
slhck
źródło
2
Prawdopodobnie używa botnetu. Nie sądzę, aby zablokowanie tych adresów IP bardzo pomogło komukolwiek.
Aren B
2
Tyle tylko, że wszystkie adresy to dynamiczne adresy IP, a ty w końcu blokujesz płacących klientów ...
ZaB
1

Przybyłem tutaj po poszukiwaniu tego agenta użytkownika. Inne IP (91.127.90.220), ale to samo podejście - każde pole z formularza zamieniane z kolei na -1 [cytat].

To jedyny raz, kiedy widziałem, jak się go używa, więc zgadzam się, że zakazanie go jest drogą naprzód.

Nacięcie
źródło
Za to, co jest warte, „Apache Synapse” nie zachowuje się tak. Użyte narzędzie ma podobny ciąg agenta. Sugeruję przeczytanie innych odpowiedzi, aby uzyskać więcej informacji.
Aren B