Synapse Apache là gì?

Trang web của tôi tiếp tục bị ảnh hưởng bởi các yêu cầu kỳ lạ với chuỗi tác nhân người dùng sau:

Mozilla/4.0 (compatible; Synapse)

Sử dụng công cụ thân thiện của chúng tôi Google Tôi đã có thể xác định đây là thẻ gọi đặc trưng của khu phố thân thiện Apache Synapse của chúng tôi . Một 'ESB nhẹ (Xe buýt dịch vụ doanh nghiệp)'.

Bây giờ, dựa trên thông tin này tôi có thể thu thập được, tôi vẫn không biết công cụ này được sử dụng để làm gì. Tất cả những gì tôi có thể nói là có liên quan đến Dịch vụ web và hỗ trợ nhiều giao thức khác nhau. Trang Thông tin chỉ dẫn tôi kết luận nó có liên quan đến proxy và dịch vụ web.

Vấn đề tôi gặp phải là trong khi bình thường tôi không quan tâm, chúng tôi sẽ bị ảnh hưởng khá nhiều bởi các IP của Nga (không phải là tiếng Nga là xấu, nhưng trang web của chúng tôi khá cụ thể theo khu vực) và khi họ làm điều đó ' đang đẩy các giá trị wierd (không phải xss / độc hại ít nhất là chưa) vào các tham số chuỗi truy vấn của chúng tôi.

Những thứ như &PageNum=-1hay &Brand=25/5/2010 9:04:52 PM.

Trước khi tôi tiếp tục và chặn các ips / useragent này khỏi trang web của chúng tôi, tôi muốn một số trợ giúp hiểu được những gì đang diễn ra.

Mọi sự trợ giúp sẽ rất được trân trọng :)

Có phải tất cả các IP từ một phạm vi cụ thể? Là phạm vi đó được giao cho một công ty cụ thể? Nếu có, chỉ cần tra cứu ai là phạm vi được chỉ định và liên hệ với Liên hệ kỹ thuật được liệt kê.

Điều có khả năng nhất mà tôi có thể nghĩ đến là họ đang cạo nội dung từ trang web của bạn hoặc lập trình một cái gì đó sẽ cạo nội dung (giải thích các điều kiện ranh giới kỳ lạ là đối số).

Nó có thể là một cái gì đó ít ngây thơ hơn, tôi không biết bạn đang cố gắng bảo vệ dữ liệu nào (nó có thể có giá trị gì đó). Họ có thể đang cố gắng để lộ một trang lỗi có thể bỏ thông tin gỡ lỗi nhạy cảm. Nếu đó là trường hợp thì tôi sẽ đề nghị thiết lập một tường lửa ứng dụng web. Chúng được thực hiện để ngăn chặn loại thông báo lỗi nhạy cảm này và các hành vi lạm dụng khác xảy ra.

Bạn chỉ có thể thử cấm các dải IP và xem ai phàn nàn ... mặc dù đó là biện pháp cuối cùng của bạn.

Tôi khá chắc chắn rằng đây không phải là Apache Synapse, đây là một số công cụ được xây dựng với MediaWiki Synapse , là thư viện Delphi TCP / IP. Tôi đã tải xuống mã nguồn từ cả hai dự án và theo tôi có thể thấy, Apache Synapse có một tác nhân người dùng có thể định cấu hình và mặc định là:

Mặt khác, MediaWiki Synapse có tác nhân người dùng mặc định này:

Nó giống như cái bạn có trong nhật ký của bạn và tôi có chính xác cùng một tác nhân người dùng đang thăm dò các cuộc tấn công SQL khác nhau. Có lẽ những kẻ tấn công đang sử dụng một số công cụ được xây dựng trong Delphi với thư viện MediaWiki Synapse.

Vì những kẻ xấu đã không thay đổi tác nhân người dùng mặc định, tôi nghĩ rằng việc chặn cái này là an toàn:

Mozilla/4.0 (compatible; Synapse)

không phải một phần vì bạn có thể chặn một số công cụ hợp pháp chạy trên Apache Synapse và tôi tin rằng bất kỳ bot hoặc dự án hợp pháp nào cũng sẽ xác định tác nhân người dùng và không ẩn theo mặc định.

Không có điểm chặn IP nào vì dường như cuộc tấn công đến từ nhiều địa chỉ IP khác nhau trên khắp thế giới, có thể là một số botnet.

Cùng một người cố gắng tiêm -1 vào khung nhìn:

finder-query: -1'

Đây có lẽ là một công cụ kiểm tra tiêm SQL tự động.

Gần đây tôi đã thấy Tác nhân người dùng này đến từ một IP:

217,35.nn.nn - - [21/2/2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (tương thích ; Synapse) "
217,35.nn.nn - - [21/2/2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (tương thích ; Synapse) "

Nó đã được khá nhanh chóng theo sau bởi một tác nhân người dùng chắc chắn độc hại (Havij):

217,35.nn.nn - - [21/2/2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (tương thích; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217,35.nn.nn - - [21/2/2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (tương thích; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Điều này được theo sau bởi một số nỗ lực tại SQL tiêm.

Bản thân Synapse không độc hại, nhưng dường như nó đang được sử dụng để thăm dò các trang web điều khiển dữ liệu. Nếu trang web của bạn không cung cấp API cho bất kỳ ai, tôi sẽ chặn Tác nhân người dùng này. Có thể sử dụng bộ lọc apache-badbots trong fail2ban để chặn lưu lượng truy cập từ các địa chỉ IP cố gắng sử dụng chuỗi tác nhân này. Và dán 'Havij' trong đó, trong khi bạn đang ở đó.

Tôi đã kiểm tra cơ sở dữ liệu của mình với hơn 75 triệu yêu cầu được thu thập bởi ứng dụng bảo mật của chúng tôi và chỉ tìm thấy tác nhân người dùng đó mà không có bất kỳ URL giới thiệu nào.

Ngoài ra, tôi có thể thấy rằng họ đã đạt được nhiều tên miền phụ khác nhau trong vòng chưa đầy một phút và một khách truy cập bình thường không thể điều hướng nhanh như vậy.

Tôi chỉ đếm 23 yêu cầu cho tác nhân người dùng đó vì vậy tôi đã chặn các anh chàng. Đây là địa chỉ IP từ các trang của tôi:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Tôi đã đến đây sau khi tìm kiếm tác nhân người dùng này. Một IP khác nhau (91.127.90.220) nhưng cùng một cách tiếp cận - mọi trường từ một biểu mẫu được thay thế lần lượt bằng -1 [quote].

Đó là lần duy nhất tôi từng thấy nó được sử dụng, vì vậy tôi đồng ý rằng cấm nó là con đường phía trước.