Che cos'è Apache Synapse?


39

Il mio sito Web continua a essere colpito da richieste dispari con la seguente stringa user-agent:

Mozilla/4.0 (compatible; Synapse)

Utilizzando il nostro strumento amichevole Google sono stato in grado di determinare che questo è il segno distintivo del nostro amichevole quartiere Apache Synapse . Un "ESB leggero (Enterprise Service Bus)".

Ora, sulla base di queste informazioni che sono stato in grado di raccogliere, non ho ancora idea di cosa venga utilizzato questo strumento. Tutto quello che posso dire è che ha qualcosa a che fare con i servizi Web e supporta una varietà di protocolli. La pagina Info mi porta solo a concludere che ha qualcosa a che fare con i proxy e i servizi web.

Il problema che ho riscontrato è che, sebbene normalmente non mi importerebbe, veniamo colpiti un po 'dagli IP russi (non che i russi siano cattivi, ma il nostro sito è piuttosto specifico a livello regionale) e quando lo fanno' reinserendo valori strani (non xss / dannosi almeno non ancora) nei nostri parametri della stringa di query.

Cose come &PageNum=-1o &Brand=25/5/2010 9:04:52 PM.

Prima di andare avanti e bloccare questi ips / useragent dal nostro sito, vorrei un po 'di aiuto per capire esattamente cosa sta succedendo.

Qualsiasi aiuto sarebbe molto apprezzato :)


2
Un utente intraprendente qui ( goo.gl/baHJn ) ha dato un'occhiata alla fonte di Apache Synapse. L'intestazione UA che utilizza non corrisponde a ciò che mostrano i tuoi registri. Ulteriori ricerche da parte sua hanno rivelato Ararat Synapse che utilizza quell'intestazione.
Doug Wilson,

Vedi le domande e i commenti correlati su questo altro sito stackexchange, security.stackexchange.com/questions/18652/…
Funka,

Ogni volta che cerco su Google questo agente utente, mi imbatto in questo post, quindi ho pensato di condividere alcune delle mie scoperte nel caso qualcuno lo stesse cercando. btpro.net/blog/2013/05/black-revolution-botnet-trojan Questo è principalmente un attacco botnet e non ha nulla (o molto poco) a che fare con il progetto Apache Synapse.
Imran Saeed,

Risposte:


11

Tutti gli IP provengono da un intervallo specifico? Tale intervallo è assegnato a una società specifica? Se lo è, basta cercare a chi è assegnato l'intervallo e contattare il contatto tecnico elencato.

La cosa più probabile che mi viene in mente è che stanno raschiando il contenuto dalla tua pagina web o programmando qualcosa che rascherà il contenuto (il che spiega le strane condizioni al contorno come argomenti).

Potrebbe essere qualcosa di un po 'meno innocente, non so quali dati stai cercando di proteggere (potrebbe valere la pena). Potrebbero tentare di esporre una pagina di errore che può scaricare informazioni di debug sensibili. In tal caso, suggerirei di impostare un firewall per l'app Web. Sono creati per impedire questo tipo di messaggi di errore sensibili e altri abusi.

Potresti semplicemente provare a vietare gli intervalli IP e vedere chi si lamenta ... anche se questa è la tua ultima risorsa.


Tutti gli errori del sito sono presentati con una bella pagina "Errore del sito". Se ci stanno solo raschiando, non mi interessa, è che attualmente ogni volta che un utente genera un'eccezione che non viene gestita, viene registrato nell'e-mail. Ricevo 100+ al giorno da questo ragazzo da solo. Ovviamente la soluzione semplice è quella di gestire più errori, ma questo motore mi è sembrato piuttosto complicato quando l'ho guardato, quindi ero preoccupato.
Aren B,

25

Sono abbastanza sicuro che questo non sia Apache Synapse, è alcuni strumenti creati con Ararat Synapse , che è una libreria TCP / IP di Delphi . Ho scaricato il codice sorgente da entrambi i progetti e, per quanto posso vedere, Apache Synapse ha un user-agent configurabile e il valore predefinito è:

inserisci qui la descrizione dell'immagine

D'altra parte, Ararat Synapse ha questo agente utente predefinito:

inserisci qui la descrizione dell'immagine

È proprio come quello che hai nei tuoi registri e ho esattamente lo stesso user agent che sonda con vari attacchi di iniezione SQL. Probabilmente gli attaccanti stanno usando alcuni strumenti integrati in Delphi con la libreria Ararat Synapse.

Dal momento che i cattivi non hanno cambiato l'agente utente predefinito, penso che sia sicuro bloccare questo:

Mozilla/4.0 (compatible; Synapse)

non in parte perché è possibile bloccare alcuni strumenti legittimi in esecuzione su Apache Synapse e credo che qualsiasi bot o progetto legittimo definirebbe un user-agent e non si nasconda con l'impostazione predefinita.

Non ha senso bloccare gli IP perché sembra che l'attacco provenga da vari indirizzi IP in tutto il mondo, probabilmente alcune botnet.


"qualsiasi bot o progetto legittimo definirebbe user-agent e non si nasconderebbe di default." Non ci sono difetti nel lasciare la stringa dell'agente utente predefinito così com'è !!! Sarei molto più sospettoso nei confronti di un utente sconosciuto, ma non puoi conoscerne tutti. La tua soluzione (sicura per bloccare il programma utente) è pura cattiva pratica proprio come vietare gli IP dinamici. I robot usano gli agenti più noti o completamente sconosciuti. Questo sicuramente no.
Darkendorf,

6

Stessa persona che tenta di iniettare -1 nel viewstate:

finder-query: -1'

È probabilmente uno strumento automatizzato per il tester di iniezione SQL.


Direi anche, iniettare -1 '(l'apostrofo è importante)
billy,

5

Recentemente ho visto questo User-Agent proveniente da un IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatibile ; Sinapsi)"
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatibile ; Sinapsi)"

Poco dopo è stato seguito da un user agent decisamente dannoso (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Questo è stato seguito da numerosi tentativi di iniezione SQL.

Synapse non è di per sé dannoso, ma sembra essere utilizzato per sondare siti Web basati sui dati. Se il tuo sito Web non offre un'API a nessuno, bloccherei questo User Agent. Forse utilizzare il filtro apache-badbots in fail2ban per bloccare il traffico proveniente da indirizzi IP che tentano di utilizzare questa stringa agente. E mantieni 'Havij' anche lì mentre ci sei.


3

Ho controllato il mio database con oltre 75 milioni di richieste raccolte dalla nostra applicazione di sicurezza e ho trovato quell'agente utente senza alcun URL di riferimento.

Inoltre, posso vedere che colpiscono vari sottodomini in meno di un minuto e un visitatore normale non può navigare così rapidamente.

Conto solo 23 richieste per quel programma utente quindi ho bloccato i ragazzi. Ecco gli indirizzi IP dei miei siti:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
Probabilmente sta usando una botnet. Non credo che vietare quegli IP sarebbe di grande aiuto a tutti.
Aren B,

2
Tranne il fatto che tutti gli indirizzi sono IP dinamici e alla fine stai bloccando i clienti paganti ...
ZaB

1

Sono venuto qui dopo aver cercato questo agente utente. Un IP diverso (91.127.90.220) ma lo stesso approccio: ogni campo di un modulo è stato sostituito a sua volta da -1 [citazione].

È l'unica volta che l'ho mai visto usato, quindi sono d'accordo che vietarlo è la strada da percorrere.


Per quello che vale, 'Apache Synapse' non ha questo comportamento. Lo strumento utilizzato ha una stringa agente simile. Ti suggerisco di leggere le altre risposte per ulteriori informazioni.
Aren B,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.