Apache Synapse คืออะไร


39

เว็บไซต์ของฉันยังคงโดนการร้องขอแปลก ๆ ด้วยสตริงตัวแทนผู้ใช้ต่อไปนี้:

Mozilla/4.0 (compatible; Synapse)

โดยใช้เครื่องมือที่เป็นมิตรของเราGoogleก็สามารถที่จะตรวจสอบนี้เป็นจุดเด่นโทรการ์ดของพื้นที่ใกล้เคียงเป็นมิตรของเราApache ไซแนปส์ A 'จริงจัง ESB (Enterprise Service Bus)'

ตอนนี้จากข้อมูลที่ฉันสามารถรวบรวมได้ฉันยังคงไม่รู้ว่าเครื่องมือนี้ใช้สำหรับอะไร สิ่งที่ฉันสามารถบอกได้ก็คือมันมีส่วนเกี่ยวข้องกับบริการบนเว็บและรองรับโปรโตคอลที่หลากหลาย หน้าข้อมูลทำให้ฉันสรุปได้ว่ามันมีบางอย่างเกี่ยวกับพร็อกซีและบริการบนเว็บ

ปัญหาที่ฉันพบคือในขณะที่ปกติฉันจะไม่สนใจเราได้รับผลกระทบค่อนข้างน้อยจาก IP ของรัสเซีย (ไม่ใช่ภาษารัสเซียที่ไม่ดี แต่เว็บไซต์ของเราค่อนข้างเฉพาะภูมิภาค) และเมื่อพวกเขาทำ กำลังเปลี่ยนค่า (ไม่ใช่ xss / ที่เป็นอันตรายอย่างน้อยยังไม่ได้) ลงในพารามิเตอร์สตริงการสืบค้นของเรา

สิ่งที่ต้องการหรือ&PageNum=-1&Brand=25/5/2010 9:04:52 PM

ก่อนที่ฉันจะไปข้างหน้าและปิดกั้น ips / useragent เหล่านี้จากเว็บไซต์ของเราฉันต้องการความช่วยเหลือในการทำความเข้าใจว่าเกิดอะไรขึ้น

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก :)


2
ผู้ใช้ที่กล้าได้กล้าเสียที่นี่ ( goo.gl/baHJn ) ดูที่แหล่งที่มาของ Apache Synapse ส่วนหัว UA ที่ใช้ไม่ตรงกับบันทึกของคุณ ขุดต่อไปในส่วนของเขาหันมาอารารัต Synapse ซึ่งไม่ใช้ส่วนหัว
Doug Wilson

ดูคำถามและความเห็นที่เกี่ยวข้องในไซต์ stackexchange อื่น ๆ นี้security.stackexchange.com/questions/18652/…
Funka

เมื่อใดก็ตามที่ฉัน google ในตัวแทนผู้ใช้นี้ฉันเจอโพสต์นี้จึงคิดว่าฉันควรแบ่งปันสิ่งที่ค้นพบของฉันในกรณีที่มีใครบางคนกำลังมองหามัน btpro.net/blog/2013/05/black-revolution-botnet-trojanนี่เป็นการโจมตีบ็อตเน็ตส่วนใหญ่และไม่มีอะไรเกี่ยวข้องกับโครงการ Apache Synapse (หรือน้อยมาก)
Imran Saeed

คำตอบ:


11

IP ทั้งหมดมาจากช่วงที่ระบุหรือไม่ ช่วงนั้นกำหนดให้กับ บริษัท ใด บริษัท หนึ่งหรือไม่? หากเป็นเช่นนั้นให้ค้นหาผู้ที่ได้รับมอบหมายช่วงและติดต่อผู้ติดต่อด้านเทคนิคที่ระบุไว้

สิ่งที่น่าจะเป็นไปได้มากที่สุดคือพวกเขากำลังขูดเนื้อหาจากหน้าเว็บของคุณหรือเขียนโปรแกรมบางอย่างที่จะขูดเนื้อหา (ซึ่งอธิบายถึงขอบเขตขอบเขตที่แปลกเป็นข้อโต้แย้ง)

อาจเป็นสิ่งที่ไร้เดียงสาน้อยฉันไม่รู้ว่าข้อมูลใดที่คุณกำลังพยายามปกป้อง (อาจเป็นสิ่งที่คุ้มค่า) พวกเขาอาจพยายามแสดงหน้าข้อผิดพลาดที่สามารถถ่ายโอนข้อมูล debug sensative หากเป็นกรณีนี้ฉันขอแนะนำให้ตั้งค่าไฟร์วอลล์ของเว็บแอป พวกเขาถูกสร้างขึ้นเพื่อป้องกันข้อความแสดงข้อผิดพลาดที่ละเอียดอ่อนและการละเมิดอื่น ๆ ที่เกิดขึ้น

คุณสามารถลองแบนช่วง IP และดูว่าใครบ่น ... แม้ว่าจะเป็นทางเลือกสุดท้ายของคุณ


ข้อผิดพลาดของไซต์ทั้งหมดจะปรากฏขึ้นพร้อมกับหน้า "ข้อผิดพลาดของไซต์" เล็กน้อย หากพวกเขากำลังขูดเราเราไม่สนใจว่าในขณะนี้เมื่อใดก็ตามที่ผู้ใช้สร้างข้อยกเว้นที่ไม่ได้จัดการมันถูกบันทึกไว้ในอีเมล ฉันได้รับ 100+ ต่อวันจากผู้ชายคนนี้คนเดียว แน่นอนทางออกที่ง่ายคือการจัดการข้อผิดพลาดมากขึ้น แต่เครื่องมือนี้มันดูค่อนข้างคาวเมื่อฉันดูมันดังนั้นฉันจึงเป็นห่วง
Aren B

25

ฉันค่อนข้างแน่ใจว่านี่ไม่ใช่ Apache Synapse มันเป็นเครื่องมือบางอย่างที่สร้างขึ้นด้วยอารารัต Synapseซึ่งเป็นห้องสมุดDelphi TCP / IP ฉันดาวน์โหลดซอร์สโค้ดจากทั้งสองโครงการและเท่าที่ฉันเห็น Apache Synapse มี user-agent ที่กำหนดค่าได้และค่าเริ่มต้นคือ:

ป้อนคำอธิบายรูปภาพที่นี่

ในอีกทางหนึ่ง, อารารัตซินแนปส์มีตัวแทนผู้ใช้เริ่มต้นนี้:

ป้อนคำอธิบายรูปภาพที่นี่

มันเหมือนกับสิ่งที่คุณมีในบันทึกของคุณและฉันมีตัวแทนผู้ใช้รายเดียวกันที่พิสูจน์การโจมตี SQL แบบฉีดต่างๆ อาจเป็นไปได้ว่าผู้โจมตีใช้เครื่องมือบางอย่างที่สร้างขึ้นใน Delphi พร้อมห้องสมุดอารารัตไซแนปส์

เนื่องจากผู้ร้ายไม่ได้เปลี่ยนตัวแทนผู้ใช้เริ่มต้นฉันคิดว่าการบล็อกบล็อกนี้จะปลอดภัย:

Mozilla/4.0 (compatible; Synapse)

ไม่ใช่บางส่วนเนื่องจากคุณสามารถบล็อกเครื่องมือที่ถูกกฎหมายบางอย่างที่ทำงานบน Apache Synapse และฉันเชื่อว่า ธ ปท. หรือโครงการใด ๆ ที่ถูกกฎหมายจะกำหนดตัวแทนผู้ใช้และไม่ซ่อนด้วยค่าเริ่มต้น

ไม่มีจุดปิดกั้น IP เพราะดูเหมือนว่าการโจมตีนั้นมาจากที่อยู่ IP หลายแห่งทั่วโลกซึ่งอาจเป็นบอตเน็ตบางส่วน


"บอทหรือโครงการใด ๆ ที่ถูกกฎหมายจะกำหนด user-agent และไม่ซ่อนด้วยค่าเริ่มต้น" ไม่มีข้อบกพร่องในการปล่อยสตริงตัวแทนผู้ใช้เริ่มต้นตามที่เป็น !!! ฉันจะต้องสงสัยอีกครั้งกับตัวแทนผู้ใช้ที่ไม่รู้จัก แต่คุณไม่สามารถรู้ได้ทุกคน โซลูชันของคุณ (ปลอดภัยในการบล็อกตัวแทนผู้ใช้) เป็นวิธีปฏิบัติที่ไม่ดีอย่างแท้จริงเช่นเดียวกับการห้าม IP แบบไดนามิก บอทใช้ตัวแทนที่รู้จักมากที่สุดหรือไม่รู้จักอย่างสมบูรณ์ อันนี้ไม่แน่นอน
Darkendorf

6

บุคคลเดียวกันที่พยายามแทรก -1 ลงในมุมมอง:

finder-query: -1'

อาจเป็นเครื่องมือทดสอบการฉีด SQL อัตโนมัติ


ฉันอาจพูดว่าให้ฉีด -1 '(เครื่องหมายอัญประกาศเป็นสิ่งสำคัญ)
billy

5

ฉันเพิ่งเห็นตัวแทนผู้ใช้นี้มาจาก IP เดียว:

217.35.nn.nn - - [21 / ก.พ. / 2555: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (เข้ากันได้ ; ไซแนปส์) "
217.35.nn.nn - - [21 / ก.พ. / 2555: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (เข้ากันได้ ; ไซแนปส์) "

มันค่อนข้างช้าตามมาด้วยตัวแทนผู้ใช้ที่เป็นอันตรายอย่างแน่นอน (Havij):

217.35.nn.nn - - [21 / ก.พ. / 2555: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (เข้ากันได้; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) คลิก "
217.35.nn.nn - - [21 / ก.พ. / 2555: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (เข้ากันได้; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) คลิก "

ตามมาด้วยความพยายามหลายครั้งในการฉีด SQL

ไซแนปส์ไม่ได้เป็นอันตรายกับตัวเอง แต่ดูเหมือนว่ามันถูกใช้เพื่อตรวจสอบเว็บไซต์ที่ขับเคลื่อนด้วยข้อมูล หากเว็บไซต์ของคุณไม่มี API ให้กับทุกคนฉันจะบล็อกตัวแทนผู้ใช้นี้ อาจใช้ตัวกรอง apache-badbots ใน fail2ban เพื่อบล็อกทราฟฟิกจากที่อยู่ IP ซึ่งพยายามใช้สตริงตัวแทนนี้ และติดอยู่ที่นั่น 'Havij' ด้วยในขณะที่คุณอยู่ที่นั้น


3

ฉันตรวจสอบฐานข้อมูลของฉันด้วยคำขอกว่า 75 ล้านคำขอที่รวบรวมโดยแอปพลิเคชันความปลอดภัยของเราและพบว่าตัวแทนผู้ใช้นั้นไม่มี URL ผู้อ้างอิง

นอกจากนี้ฉันสามารถเห็นว่าพวกเขาเข้าสู่โดเมนย่อยต่าง ๆ ภายในไม่กี่นาทีและผู้เข้าชมปกติไม่สามารถนำทางได้อย่างรวดเร็ว

ฉันนับเพียง 23 คำขอสำหรับตัวแทนผู้ใช้นั้นดังนั้นฉันจึงปิดกั้นพวก นี่คือที่อยู่ IP จากเว็บไซต์ของฉัน:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
มันอาจจะใช้บ็อตเน็ต ฉันไม่คิดว่าการแบนไอพีเหล่านั้นจะช่วยทุกคนได้มากมาย
Aren B

2
ยกเว้นว่าที่อยู่ทั้งหมดเป็น IP แบบไดนามิกและคุณกำลังปิดกั้นการชำระเงินลูกค้าในที่สุด ...
ZaB

1

ฉันมาที่นี่หลังจากค้นหาตัวแทนผู้ใช้รายนี้ IP ที่แตกต่างกัน (91.127.90.220) แต่เป็นวิธีเดียวกัน - ทุกฟิลด์จากฟอร์มถูกแทนที่ด้วย -1 [quote]

เป็นครั้งเดียวที่ฉันเคยเห็นมันใช้ดังนั้นฉันจึงเห็นด้วยว่าการห้ามมันเป็นวิธีที่จะไปข้างหน้า


สำหรับสิ่งที่คุ้มค่า 'Apache Synapse' ไม่ได้มีพฤติกรรมเช่นนี้ เครื่องมือที่ใช้มีสตริงตัวแทนที่คล้ายกัน ฉันขอแนะนำให้คุณอ่านคำตอบอื่น ๆ สำหรับข้อมูลเพิ่มเติม
Aren B
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.