Apache Synapse Nedir?


39

Web sitem, aşağıdaki kullanıcı aracısı dizesiyle garip isteklere maruz kalmaya devam ediyor:

Mozilla/4.0 (compatible; Synapse)

Arkadaş canlısı aracımızı kullanarak Google , arkadaşça komşumuz olan Apache Synapse'ın arama kartı olduğuna karar verdim . Bir 'Hafif ESB (Kurumsal Servis Veriyolu)'.

Şimdi, toplayabildiğim bilgilere dayanarak, bu aracın ne için kullanıldığına dair hiçbir fikrim yok. Tek söyleyebileceğim, bunun Web Servisleriyle ilgisi olduğu ve çeşitli protokolleri desteklediği. Bilgi sayfası yalnızca proxy'ler ve web hizmetleriyle ilgisi olduğu sonucuna varmamı sağlıyor.

Karşılaştığım sorun, normalde umursamadığım halde, Rus IP'leri tarafından oldukça fazla etkilenmemizdir (rusçalar kötü değildir, ancak sitemiz bölgesel olarak özeldir) ve ne zaman yaparlar? sorgu dizesi parametrelerimize garip (en azından henüz xss / kötü amaçlı değil) değerlerini sokmak.

&PageNum=-1Veya gibi şeyler &Brand=25/5/2010 9:04:52 PM.

Devam etmeden ve bu ips / useragent'ı sitemizden engellemeden önce, tam olarak ne olup bittiğini anlama konusunda yardım istiyorum.

Herhangi bir yardım çok takdir edilecektir :)


2
Buradaki girişimci bir kullanıcı ( goo.gl/baHJn ) Apache Synapse kaynağına bir göz attı. Kullandığı UA başlığı, günlüklerinizin gösterdiği ile eşleşmiyor. Kendi tarafına daha fazla kazmak, bu başlığı kullanan ARES Sinaps'ı ortaya çıkardı.
Doug Wilson

Bu diğer
stackexchange

Ne zaman bu kullanıcı aracısına ne zaman google girsem, bu yazıyla karşılaşıyorum, bu nedenle birinin aradığı durumlarda bazı bulgularımı paylaşmam gerektiğini düşündüm. btpro.net/blog/2013/05/black-revolution-botnet-trojan Bu daha çok botnet saldırısı ve Apache Synapse projesi ile ilgisi yok (veya çok az).
Imran Saeed

Yanıtlar:


11

Tüm IP'ler belirli bir aralıkta mı? Bu aralık belirli bir şirkete atanmış mı? Öyleyse, aralığın kime atandığını görün ve listelenen Teknik Kişiyle iletişim kurun.

Aklıma gelen en muhtemel şey, web sayfanızdaki içeriği kazımaları veya içeriği kazıyacak bir şeyi programlamaları (tuhaf sınır koşullarını argümanlar olarak açıklar).

Daha az masum bir şey olabilir, hangi verileri korumaya çalıştığınızı bilmiyorum (bir şeye değer olabilir). Hassas hata ayıklama bilgisi bırakabilen bir hata sayfası ortaya çıkarmaya çalışıyor olabilirler. Bu durumda, bir web uygulaması güvenlik duvarı kurmanızı öneririm. Bu tür hassas hata mesajlarının ve diğer suiistimallerin ortaya çıkmasını önlemek için yapılırlar.

Sadece IP aralığını yasaklamayı deneyebilir ve kimin son şikayetiniz olmasına rağmen kimin şikayet edeceğini görebilirsiniz.


Tüm site hataları güzel küçük bir "Site Hatası" sayfasıyla sunulmaktadır. Sadece bizi kazıyorlarsa, umrumda değil, şu anda bir kullanıcı e-postaya kaydedilmemiş, istisnasız bir istisna oluşturduğu zaman. Bu adamdan yalnız günde 100+ alırım. Tabii ki basit çözüm daha fazla hatayı idare etmektir, fakat bu motor içine baktığımda oldukça balıklı görünüyordu, bu yüzden endişelendim.
Aren B,

25

Bunun Apache Synapse olmadığı , bir Delphi TCP / IP kütüphanesi olan Ararat Synapse ile oluşturulmuş bazı araçlar olduğundan eminim . Kaynak kodunu her iki projeden de indirdim ve görebildiğim kadarıyla Apache Synapse yapılandırılabilir bir kullanıcı aracısına sahip ve varsayılan:

görüntü tanımını buraya girin

Öte yandan, Ararat Synapse bu varsayılan kullanıcı aracısına sahiptir:

görüntü tanımını buraya girin

Tıpkı günlük kayıtlarınızda olduğu gibi, ve çeşitli SQL enjeksiyon saldırılarıyla araştırma yapan tamamen aynı kullanıcı aracısına sahibim. Muhtemelen saldırganlar, Ararat Synapse kütüphanesi ile Delphi'de yerleşik bazı araçları kullanıyorlar.

Kötü adamlar varsayılan kullanıcı aracısını değiştirmediğinden, bunu engellemenin güvenli olduğunu düşünüyorum:

Mozilla/4.0 (compatible; Synapse)

Kısmen değil, çünkü Apache Synapse üzerinde çalışan bazı yasal araçları engelleyebildiğinizden ve herhangi bir meşru botun veya projenin bir kullanıcı aracısı tanımlayacağına ve varsayılan olarak gizlenmeyeceğine inanıyorum.

IP'leri engellemenin bir anlamı yok çünkü saldırının dünyadaki çeşitli IP adreslerinden, muhtemelen bazı botnet'lerden geldiği anlaşılıyor.


"herhangi bir meşru bot veya proje kullanıcı aracısını tanımlar ve varsayılan olarak gizlemez." Varsayılan kullanıcı aracısı dizgesinin olduğu gibi kullanılmasına izin vermenin herhangi bir kusuru yoktur !!! Bilinmeyen bir kullanıcı ajanı için çok daha fazla şüpheli olurdum, ancak her birini bilemezsiniz. Çözümünüz (kullanıcı aracısını engellemek için güvenli), tıpkı dinamik IP'lerin yasaklanması gibi tamamen kötü bir uygulamadır. Botlar en bilinen veya tamamen bilinmeyen ajanları kullanır. Bu kesinlikle değil.
Darkendorf

6

Aynı kişi -1 ekranına enjekte etmeye çalışıyor:

finder-query: -1'

Muhtemelen otomatik bir SQL enjeksiyon test aracıdır.


Hatta şunu söyleyebilirim, -1 'enjekte et (kesme işareti önemlidir)
billy

5

Kısa bir süre önce bu Kullanıcı Aracısını bir IP adresinden geldiğini gördüm:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET / view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (uyumlu) ; Synapse) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET / view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (uyumlu) ; Synapse) "

Kısa bir süre sonra kesinlikle kötü niyetli bir kullanıcı aracısı (Havij) takip etti:

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET / view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (uyumlu; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET / view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (uyumlu; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Bunu SQL enjeksiyonunda yapılan birkaç deneme izledi.

Synapse kendi başına zararlı değildir, ancak veri odaklı web sitelerini araştırmak için kullanılıyor gibi görünmektedir. Web siteniz kimseye bir API sunmuyorsa, bu Kullanıcı Aracısını engellerim. Belki bu ajan dizesini kullanmaya çalışan IP adreslerinden gelen trafiği engellemek için fail2ban'daki apache-badbots filtresini kullanın. Ve sen de varken 'Havij'i de yapıştır.


3

Veritabanımı, güvenlik uygulamamız tarafından toplanan 75 milyondan fazla istekle kontrol ettim ve bu kullanıcı aracısını yalnızca yönlendirme URL’si olmadan buldum.

Ayrıca, bir dakikadan kısa bir süre içinde çeşitli alt etki alanlarına isabet ettiklerini görebiliyorum ve normal bir ziyaretçi bu kadar hızlı gezinemiyordu.

Bu kullanıcı temsilcisi için sadece 23 istek saydım, bu yüzden adamları engelledim. İşte sitelerimden IP adresleri:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
Muhtemelen bir botnet kullanıyordur. Bu IP'leri yasaklamanın kimseye çok yardımcı olacağını sanmıyorum.
Aren B

2
Tüm adreslerin dinamik IP olması dışında ve sonunda müşterilere ödeme yapmayı engelliyorsunuz ...
ZaB

1

Bu kullanıcı aracısını aradıktan sonra buraya geldim. Farklı bir IP (91.127.90.220) fakat aynı yaklaşım - sırayla bir formdaki her alan -1 ile değiştirilir.

Kullanıldığını gördüğüm tek zaman, bu yüzden yasaklamanın ileriye dönük olduğuna katılıyorum.


Buna değer, 'Apache Synapse' bu davranışa uymuyor. Kullanılan araç benzer bir ajan dizgisine sahiptir. Daha fazla bilgi için diğer cevapları okumanızı öneririm.
Aren B
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.