Che cos'è Apache Synapse?

Il mio sito Web continua a essere colpito da richieste dispari con la seguente stringa user-agent:

Mozilla/4.0 (compatible; Synapse)

Utilizzando il nostro strumento amichevole Google sono stato in grado di determinare che questo è il segno distintivo del nostro amichevole quartiere Apache Synapse . Un "ESB leggero (Enterprise Service Bus)".

Ora, sulla base di queste informazioni che sono stato in grado di raccogliere, non ho ancora idea di cosa venga utilizzato questo strumento. Tutto quello che posso dire è che ha qualcosa a che fare con i servizi Web e supporta una varietà di protocolli. La pagina Info mi porta solo a concludere che ha qualcosa a che fare con i proxy e i servizi web.

Il problema che ho riscontrato è che, sebbene normalmente non mi importerebbe, veniamo colpiti un po 'dagli IP russi (non che i russi siano cattivi, ma il nostro sito è piuttosto specifico a livello regionale) e quando lo fanno' reinserendo valori strani (non xss / dannosi almeno non ancora) nei nostri parametri della stringa di query.

Cose come &PageNum=-1o &Brand=25/5/2010 9:04:52 PM.

Prima di andare avanti e bloccare questi ips / useragent dal nostro sito, vorrei un po 'di aiuto per capire esattamente cosa sta succedendo.

Qualsiasi aiuto sarebbe molto apprezzato :)

Tutti gli IP provengono da un intervallo specifico? Tale intervallo è assegnato a una società specifica? Se lo è, basta cercare a chi è assegnato l'intervallo e contattare il contatto tecnico elencato.

La cosa più probabile che mi viene in mente è che stanno raschiando il contenuto dalla tua pagina web o programmando qualcosa che rascherà il contenuto (il che spiega le strane condizioni al contorno come argomenti).

Potrebbe essere qualcosa di un po 'meno innocente, non so quali dati stai cercando di proteggere (potrebbe valere la pena). Potrebbero tentare di esporre una pagina di errore che può scaricare informazioni di debug sensibili. In tal caso, suggerirei di impostare un firewall per l'app Web. Sono creati per impedire questo tipo di messaggi di errore sensibili e altri abusi.

Potresti semplicemente provare a vietare gli intervalli IP e vedere chi si lamenta ... anche se questa è la tua ultima risorsa.

Sono abbastanza sicuro che questo non sia Apache Synapse, è alcuni strumenti creati con Ararat Synapse , che è una libreria TCP / IP di Delphi . Ho scaricato il codice sorgente da entrambi i progetti e, per quanto posso vedere, Apache Synapse ha un user-agent configurabile e il valore predefinito è:

D'altra parte, Ararat Synapse ha questo agente utente predefinito:

È proprio come quello che hai nei tuoi registri e ho esattamente lo stesso user agent che sonda con vari attacchi di iniezione SQL. Probabilmente gli attaccanti stanno usando alcuni strumenti integrati in Delphi con la libreria Ararat Synapse.

Dal momento che i cattivi non hanno cambiato l'agente utente predefinito, penso che sia sicuro bloccare questo:

Mozilla/4.0 (compatible; Synapse)

non in parte perché è possibile bloccare alcuni strumenti legittimi in esecuzione su Apache Synapse e credo che qualsiasi bot o progetto legittimo definirebbe un user-agent e non si nasconda con l'impostazione predefinita.

Non ha senso bloccare gli IP perché sembra che l'attacco provenga da vari indirizzi IP in tutto il mondo, probabilmente alcune botnet.

Stessa persona che tenta di iniettare -1 nel viewstate:

finder-query: -1'

È probabilmente uno strumento automatizzato per il tester di iniezione SQL.

Recentemente ho visto questo User-Agent proveniente da un IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatibile ; Sinapsi)"
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatibile ; Sinapsi)"

Poco dopo è stato seguito da un user agent decisamente dannoso (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Questo è stato seguito da numerosi tentativi di iniezione SQL.

Synapse non è di per sé dannoso, ma sembra essere utilizzato per sondare siti Web basati sui dati. Se il tuo sito Web non offre un'API a nessuno, bloccherei questo User Agent. Forse utilizzare il filtro apache-badbots in fail2ban per bloccare il traffico proveniente da indirizzi IP che tentano di utilizzare questa stringa agente. E mantieni 'Havij' anche lì mentre ci sei.

Ho controllato il mio database con oltre 75 milioni di richieste raccolte dalla nostra applicazione di sicurezza e ho trovato quell'agente utente senza alcun URL di riferimento.

Inoltre, posso vedere che colpiscono vari sottodomini in meno di un minuto e un visitatore normale non può navigare così rapidamente.

Conto solo 23 richieste per quel programma utente quindi ho bloccato i ragazzi. Ecco gli indirizzi IP dei miei siti:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Sono venuto qui dopo aver cercato questo agente utente. Un IP diverso (91.127.90.220) ma lo stesso approccio: ogni campo di un modulo è stato sostituito a sua volta da -1 [citazione].

È l'unica volta che l'ho mai visto usato, quindi sono d'accordo che vietarlo è la strada da percorrere.