Apache Synapse คืออะไร

เว็บไซต์ของฉันยังคงโดนการร้องขอแปลก ๆ ด้วยสตริงตัวแทนผู้ใช้ต่อไปนี้:

Mozilla/4.0 (compatible; Synapse)

โดยใช้เครื่องมือที่เป็นมิตรของเราGoogleก็สามารถที่จะตรวจสอบนี้เป็นจุดเด่นโทรการ์ดของพื้นที่ใกล้เคียงเป็นมิตรของเราApache ไซแนปส์ A 'จริงจัง ESB (Enterprise Service Bus)'

ตอนนี้จากข้อมูลที่ฉันสามารถรวบรวมได้ฉันยังคงไม่รู้ว่าเครื่องมือนี้ใช้สำหรับอะไร สิ่งที่ฉันสามารถบอกได้ก็คือมันมีส่วนเกี่ยวข้องกับบริการบนเว็บและรองรับโปรโตคอลที่หลากหลาย หน้าข้อมูลทำให้ฉันสรุปได้ว่ามันมีบางอย่างเกี่ยวกับพร็อกซีและบริการบนเว็บ

ปัญหาที่ฉันพบคือในขณะที่ปกติฉันจะไม่สนใจเราได้รับผลกระทบค่อนข้างน้อยจาก IP ของรัสเซีย (ไม่ใช่ภาษารัสเซียที่ไม่ดี แต่เว็บไซต์ของเราค่อนข้างเฉพาะภูมิภาค) และเมื่อพวกเขาทำ กำลังเปลี่ยนค่า (ไม่ใช่ xss / ที่เป็นอันตรายอย่างน้อยยังไม่ได้) ลงในพารามิเตอร์สตริงการสืบค้นของเรา

สิ่งที่ต้องการหรือ&PageNum=-1&Brand=25/5/2010 9:04:52 PM

ก่อนที่ฉันจะไปข้างหน้าและปิดกั้น ips / useragent เหล่านี้จากเว็บไซต์ของเราฉันต้องการความช่วยเหลือในการทำความเข้าใจว่าเกิดอะไรขึ้น

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก :)

IP ทั้งหมดมาจากช่วงที่ระบุหรือไม่ ช่วงนั้นกำหนดให้กับ บริษัท ใด บริษัท หนึ่งหรือไม่? หากเป็นเช่นนั้นให้ค้นหาผู้ที่ได้รับมอบหมายช่วงและติดต่อผู้ติดต่อด้านเทคนิคที่ระบุไว้

สิ่งที่น่าจะเป็นไปได้มากที่สุดคือพวกเขากำลังขูดเนื้อหาจากหน้าเว็บของคุณหรือเขียนโปรแกรมบางอย่างที่จะขูดเนื้อหา (ซึ่งอธิบายถึงขอบเขตขอบเขตที่แปลกเป็นข้อโต้แย้ง)

อาจเป็นสิ่งที่ไร้เดียงสาน้อยฉันไม่รู้ว่าข้อมูลใดที่คุณกำลังพยายามปกป้อง (อาจเป็นสิ่งที่คุ้มค่า) พวกเขาอาจพยายามแสดงหน้าข้อผิดพลาดที่สามารถถ่ายโอนข้อมูล debug sensative หากเป็นกรณีนี้ฉันขอแนะนำให้ตั้งค่าไฟร์วอลล์ของเว็บแอป พวกเขาถูกสร้างขึ้นเพื่อป้องกันข้อความแสดงข้อผิดพลาดที่ละเอียดอ่อนและการละเมิดอื่น ๆ ที่เกิดขึ้น

คุณสามารถลองแบนช่วง IP และดูว่าใครบ่น ... แม้ว่าจะเป็นทางเลือกสุดท้ายของคุณ

ฉันค่อนข้างแน่ใจว่านี่ไม่ใช่ Apache Synapse มันเป็นเครื่องมือบางอย่างที่สร้างขึ้นด้วยอารารัต Synapseซึ่งเป็นห้องสมุดDelphi TCP / IP ฉันดาวน์โหลดซอร์สโค้ดจากทั้งสองโครงการและเท่าที่ฉันเห็น Apache Synapse มี user-agent ที่กำหนดค่าได้และค่าเริ่มต้นคือ:

ในอีกทางหนึ่ง, อารารัตซินแนปส์มีตัวแทนผู้ใช้เริ่มต้นนี้:

มันเหมือนกับสิ่งที่คุณมีในบันทึกของคุณและฉันมีตัวแทนผู้ใช้รายเดียวกันที่พิสูจน์การโจมตี SQL แบบฉีดต่างๆ อาจเป็นไปได้ว่าผู้โจมตีใช้เครื่องมือบางอย่างที่สร้างขึ้นใน Delphi พร้อมห้องสมุดอารารัตไซแนปส์

เนื่องจากผู้ร้ายไม่ได้เปลี่ยนตัวแทนผู้ใช้เริ่มต้นฉันคิดว่าการบล็อกบล็อกนี้จะปลอดภัย:

Mozilla/4.0 (compatible; Synapse)

ไม่ใช่บางส่วนเนื่องจากคุณสามารถบล็อกเครื่องมือที่ถูกกฎหมายบางอย่างที่ทำงานบน Apache Synapse และฉันเชื่อว่า ธ ปท. หรือโครงการใด ๆ ที่ถูกกฎหมายจะกำหนดตัวแทนผู้ใช้และไม่ซ่อนด้วยค่าเริ่มต้น

ไม่มีจุดปิดกั้น IP เพราะดูเหมือนว่าการโจมตีนั้นมาจากที่อยู่ IP หลายแห่งทั่วโลกซึ่งอาจเป็นบอตเน็ตบางส่วน

บุคคลเดียวกันที่พยายามแทรก -1 ลงในมุมมอง:

finder-query: -1'

อาจเป็นเครื่องมือทดสอบการฉีด SQL อัตโนมัติ

ฉันเพิ่งเห็นตัวแทนผู้ใช้นี้มาจาก IP เดียว:

217.35.nn.nn - - [21 / ก.พ. / 2555: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (เข้ากันได้ ; ไซแนปส์) "
217.35.nn.nn - - [21 / ก.พ. / 2555: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (เข้ากันได้ ; ไซแนปส์) "

มันค่อนข้างช้าตามมาด้วยตัวแทนผู้ใช้ที่เป็นอันตรายอย่างแน่นอน (Havij):

217.35.nn.nn - - [21 / ก.พ. / 2555: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (เข้ากันได้; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) คลิก "
217.35.nn.nn - - [21 / ก.พ. / 2555: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (เข้ากันได้; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) คลิก "

ตามมาด้วยความพยายามหลายครั้งในการฉีด SQL

ไซแนปส์ไม่ได้เป็นอันตรายกับตัวเอง แต่ดูเหมือนว่ามันถูกใช้เพื่อตรวจสอบเว็บไซต์ที่ขับเคลื่อนด้วยข้อมูล หากเว็บไซต์ของคุณไม่มี API ให้กับทุกคนฉันจะบล็อกตัวแทนผู้ใช้นี้ อาจใช้ตัวกรอง apache-badbots ใน fail2ban เพื่อบล็อกทราฟฟิกจากที่อยู่ IP ซึ่งพยายามใช้สตริงตัวแทนนี้ และติดอยู่ที่นั่น 'Havij' ด้วยในขณะที่คุณอยู่ที่นั้น

ฉันตรวจสอบฐานข้อมูลของฉันด้วยคำขอกว่า 75 ล้านคำขอที่รวบรวมโดยแอปพลิเคชันความปลอดภัยของเราและพบว่าตัวแทนผู้ใช้นั้นไม่มี URL ผู้อ้างอิง

นอกจากนี้ฉันสามารถเห็นว่าพวกเขาเข้าสู่โดเมนย่อยต่าง ๆ ภายในไม่กี่นาทีและผู้เข้าชมปกติไม่สามารถนำทางได้อย่างรวดเร็ว

ฉันนับเพียง 23 คำขอสำหรับตัวแทนผู้ใช้นั้นดังนั้นฉันจึงปิดกั้นพวก นี่คือที่อยู่ IP จากเว็บไซต์ของฉัน:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

ฉันมาที่นี่หลังจากค้นหาตัวแทนผู้ใช้รายนี้ IP ที่แตกต่างกัน (91.127.90.220) แต่เป็นวิธีเดียวกัน - ทุกฟิลด์จากฟอร์มถูกแทนที่ด้วย -1 [quote]

เป็นครั้งเดียวที่ฉันเคยเห็นมันใช้ดังนั้นฉันจึงเห็นด้วยว่าการห้ามมันเป็นวิธีที่จะไปข้างหน้า