Что такое Apache Synapse?

Question

Что такое Apache Synapse?

16964

Aren B 2010-05-27 в 22:31

Мой сайт продолжает получать нечетные запросы со следующей строкой user-agent:

Mozilla/4.0 (compatible; Synapse)

Используя наш дружественный инструмент Google, я смог определить, что это визитная карточка нашего дружественного соседа Apache Synapse . «Легкий ESB (Enterprise Service Bus)».

Теперь, основываясь на этой информации, которую я смог собрать, я до сих пор не знаю, для чего этот инструмент используется. Все, что я могу сказать, это то, что это как-то связано с веб-сервисами и поддерживает множество протоколов. Страница информации только заставляет меня заключить, что она имеет какое-то отношение к прокси и веб-сервисам.

Проблема, с которой я сталкиваюсь, заключается в том, что, хотя обычно меня это не волнует, российские IP-адреса сильно поражают нас (не то, что русские плохие, но наш сайт довольно специфичен для каждого региона), и когда они это делают, ' добавив странные (не xss / вредоносные, по крайней мере, пока) значения в параметры строки запроса.

Вещи как &PageNum=-1или &Brand=25/5/2010 9:04:52 PM.

Прежде чем я начну блокировать эти ips / useragent с нашего сайта, мне нужна помощь в понимании того, что происходит.

Любая помощь будет принята с благодарностью :)

38

Здесь предприимчивый пользователь (http://goo.gl/baHJn) взглянул на источник Apache Synapse. Используемый заголовок UA не соответствует тому, что показывают ваши журналы. Дальнейшие раскопки с его стороны обнаружили Араратский синапс, который использует этот заголовок. Doug Wilson 11 лет назад 2

См. Связанный вопрос и комментарий на этом другом сайте stackexchange, http://security.stackexchange.com/questions/18652/is-this-a-viewstate-attack Funka 11 лет назад 0

Всякий раз, когда я гуглю на этом пользовательском агенте, я сталкиваюсь с этим постом, так что думал, что должен поделиться некоторыми своими выводами на случай, если кто-то его ищет. http://www.btpro.net/blog/2013/05/black-revolution-botnet-trojan/ Это в основном атака ботнетом, которая не имеет (или очень мало) связана с проектом Apache Synapse. Imran Saeed 11 лет назад 0

6 ответов на вопрос

25

11

Daisetsu 2010-05-27 в 22:56

Все ли IP-адреса из определенного диапазона? Этот диапазон назначен определенной компании? Если это так, просто посмотрите, кому назначен диапазон, и свяжитесь с указанным техническим контактом.

Наиболее вероятная вещь, о которой я могу думать, это то, что они соскребают контент с вашей веб-страницы или программируют что-то, что будет очищать контент (который объясняет странные граничные условия в качестве аргументов).

Это может быть что-то менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Они могут пытаться раскрыть страницу с ошибкой, которая может вывести чувствительную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для того, чтобы предотвратить появление таких чувствительных сообщений об ошибках и других злоупотреблений.

Вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется ... хотя это ваше последнее средство.

Все ошибки сайта представлены с милой небольшой страницей «Ошибка сайта». Если они просто очищают нас, мне все равно, что в настоящее время каждый раз, когда пользователь генерирует исключение, которое не обрабатывается, оно регистрируется в электронной почте. Я получаю 100+ в день от одного этого парня. Конечно, простое решение состоит в том, чтобы обрабатывать больше ошибок, но этот движок показался мне довольно подозрительным, когда я его изучал, поэтому я был обеспокоен. Aren B 14 лет назад 0

6

silent 2010-11-13 в 05:26

Тот же человек пытается ввести -1 в viewstate:

finder-query: -1'

Это, вероятно, автоматизированный инструмент для тестирования SQL-инъекций.

Я бы даже сказал, впрысните -1 '(апостроф важен) billy 11 лет назад 0

5

Adam Thompson 2012-03-09 в 11:54

Недавно я видел, что этот пользовательский агент приходит с одного IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс) 217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (совместимо Синапс)

За ним вскоре последовал явно вредоносный пользовательский агент (Хавидж):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж " 217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Хавидж "

За этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, он используется для проверки сайтов, управляемых данными. Если ваш сайт никому не предлагает API, я бы заблокировал этот пользовательский агент. Возможно, используйте фильтр apache-badbots в fail2ban для блокировки трафика с IP-адресов, которые пытаются использовать эту строку агента. И воткни туда "Хавидж", пока ты на нем.

3

slhck 2010-10-29 в 22:14

Я проверил свою базу данных с помощью более 75 миллионов запросов, собранных нашим приложением безопасности, и обнаружил, что только пользовательский агент без URL-адреса реферера.

Кроме того, я вижу, что они поразили различные субдомены менее чем за минуту, и обычный посетитель не мог перемещаться так быстро.

Я считаю только 23 запроса для этого пользовательского агента, поэтому я заблокировал парней. Вот IP-адреса с моих сайтов:

189.250.204.153 190.31.58.52 113.23.76.219 94.142.131.77 190.86.161.245 186.2.144.165 189.170.129.68 188.84.39.160 92.131.184.129 189.12.36.143 94.110.73.38 189.162.86.23 94.43.231.90 217.77.28.170 190.138.185.135 188.169.196.13 200.153.252.1 41.235.79.86 186.129.128.94

Вероятно, он использует ботнет. Я не думаю, что запрет этих IP-адресов поможет кому-либо. Aren B 14 лет назад 2

За исключением того, что все адреса являются динамическими IP, и вы блокируете в конечном итоге платящих клиентов ... ZaB 12 лет назад 2

1

Nick 2013-09-12 в 18:52

I've come here after searching for this user agent. A different IP (91.127.90.220) but the same approach - every field from a form replaced in turn by -1[quote].

It's the only time I've ever seen it used, so I agree that banning it is the way forward.

Что бы это ни стоило, Apache Synapse не подходит к такому поведению. Используемый инструмент имеет похожую строку агента. Я предлагаю вам прочитать другие ответы для получения дополнительной информации. Aren B 11 лет назад 0

Accepted Answer · 2013-10-03 22:25:09

Я почти уверен, что это не Apache Synapse, а некоторые инструменты, созданные с помощью Ararat Synapse, который является библиотекой Delphi TCP / IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый пользовательский агент, и по умолчанию:

enter image description here

С другой стороны, у Ararat Synapse есть этот пользовательский агент по умолчанию:

enter image description here

Это похоже на то, что есть в ваших журналах, и у меня точно такой же пользовательский агент, исследующий различные атаки SQL-инъекций. Вероятно, злоумышленники используют некоторые инструменты, созданные в Delphi с библиотекой Ararat Synapse.

Так как злоумышленники не изменили пользовательский агент по умолчанию, я думаю, это безопасно заблокировать:

Mozilla/4.0 (compatible; Synapse)

не частично, потому что вы можете заблокировать некоторые легитимные инструменты, работающие в Apache Synapse, и я считаю, что любой легитимный бот или проект определит пользовательский агент и не будет скрываться по умолчанию.

Нет смысла блокировать IP-адреса, потому что кажется, что атака идет с различных IP-адресов по всему миру, возможно, с некоторых ботнетов.

Что такое Apache Synapse?

6 ответов на вопрос

Похожие вопросы