Apache Synapse Nedir?

Web sitem, aşağıdaki kullanıcı aracısı dizesiyle garip isteklere maruz kalmaya devam ediyor:

Mozilla/4.0 (compatible; Synapse)

Arkadaş canlısı aracımızı kullanarak Google , arkadaşça komşumuz olan Apache Synapse'ın arama kartı olduğuna karar verdim . Bir 'Hafif ESB (Kurumsal Servis Veriyolu)'.

Şimdi, toplayabildiğim bilgilere dayanarak, bu aracın ne için kullanıldığına dair hiçbir fikrim yok. Tek söyleyebileceğim, bunun Web Servisleriyle ilgisi olduğu ve çeşitli protokolleri desteklediği. Bilgi sayfası yalnızca proxy'ler ve web hizmetleriyle ilgisi olduğu sonucuna varmamı sağlıyor.

Karşılaştığım sorun, normalde umursamadığım halde, Rus IP'leri tarafından oldukça fazla etkilenmemizdir (rusçalar kötü değildir, ancak sitemiz bölgesel olarak özeldir) ve ne zaman yaparlar? sorgu dizesi parametrelerimize garip (en azından henüz xss / kötü amaçlı değil) değerlerini sokmak.

&PageNum=-1Veya gibi şeyler &Brand=25/5/2010 9:04:52 PM.

Devam etmeden ve bu ips / useragent'ı sitemizden engellemeden önce, tam olarak ne olup bittiğini anlama konusunda yardım istiyorum.

Herhangi bir yardım çok takdir edilecektir :)

Tüm IP'ler belirli bir aralıkta mı? Bu aralık belirli bir şirkete atanmış mı? Öyleyse, aralığın kime atandığını görün ve listelenen Teknik Kişiyle iletişim kurun.

Aklıma gelen en muhtemel şey, web sayfanızdaki içeriği kazımaları veya içeriği kazıyacak bir şeyi programlamaları (tuhaf sınır koşullarını argümanlar olarak açıklar).

Daha az masum bir şey olabilir, hangi verileri korumaya çalıştığınızı bilmiyorum (bir şeye değer olabilir). Hassas hata ayıklama bilgisi bırakabilen bir hata sayfası ortaya çıkarmaya çalışıyor olabilirler. Bu durumda, bir web uygulaması güvenlik duvarı kurmanızı öneririm. Bu tür hassas hata mesajlarının ve diğer suiistimallerin ortaya çıkmasını önlemek için yapılırlar.

Sadece IP aralığını yasaklamayı deneyebilir ve kimin son şikayetiniz olmasına rağmen kimin şikayet edeceğini görebilirsiniz.

Bunun Apache Synapse olmadığı , bir Delphi TCP / IP kütüphanesi olan Ararat Synapse ile oluşturulmuş bazı araçlar olduğundan eminim . Kaynak kodunu her iki projeden de indirdim ve görebildiğim kadarıyla Apache Synapse yapılandırılabilir bir kullanıcı aracısına sahip ve varsayılan:

Öte yandan, Ararat Synapse bu varsayılan kullanıcı aracısına sahiptir:

Tıpkı günlük kayıtlarınızda olduğu gibi, ve çeşitli SQL enjeksiyon saldırılarıyla araştırma yapan tamamen aynı kullanıcı aracısına sahibim. Muhtemelen saldırganlar, Ararat Synapse kütüphanesi ile Delphi'de yerleşik bazı araçları kullanıyorlar.

Kötü adamlar varsayılan kullanıcı aracısını değiştirmediğinden, bunu engellemenin güvenli olduğunu düşünüyorum:

Mozilla/4.0 (compatible; Synapse)

Kısmen değil, çünkü Apache Synapse üzerinde çalışan bazı yasal araçları engelleyebildiğinizden ve herhangi bir meşru botun veya projenin bir kullanıcı aracısı tanımlayacağına ve varsayılan olarak gizlenmeyeceğine inanıyorum.

IP'leri engellemenin bir anlamı yok çünkü saldırının dünyadaki çeşitli IP adreslerinden, muhtemelen bazı botnet'lerden geldiği anlaşılıyor.

Aynı kişi -1 ekranına enjekte etmeye çalışıyor:

finder-query: -1'

Muhtemelen otomatik bir SQL enjeksiyon test aracıdır.

Kısa bir süre önce bu Kullanıcı Aracısını bir IP adresinden geldiğini gördüm:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET / view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (uyumlu) ; Synapse) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET / view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (uyumlu) ; Synapse) "

Kısa bir süre sonra kesinlikle kötü niyetli bir kullanıcı aracısı (Havij) takip etti:

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET / view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (uyumlu; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET / view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (uyumlu; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Bunu SQL enjeksiyonunda yapılan birkaç deneme izledi.

Synapse kendi başına zararlı değildir, ancak veri odaklı web sitelerini araştırmak için kullanılıyor gibi görünmektedir. Web siteniz kimseye bir API sunmuyorsa, bu Kullanıcı Aracısını engellerim. Belki bu ajan dizesini kullanmaya çalışan IP adreslerinden gelen trafiği engellemek için fail2ban'daki apache-badbots filtresini kullanın. Ve sen de varken 'Havij'i de yapıştır.

Veritabanımı, güvenlik uygulamamız tarafından toplanan 75 milyondan fazla istekle kontrol ettim ve bu kullanıcı aracısını yalnızca yönlendirme URL’si olmadan buldum.

Ayrıca, bir dakikadan kısa bir süre içinde çeşitli alt etki alanlarına isabet ettiklerini görebiliyorum ve normal bir ziyaretçi bu kadar hızlı gezinemiyordu.

Bu kullanıcı temsilcisi için sadece 23 istek saydım, bu yüzden adamları engelledim. İşte sitelerimden IP adresleri:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Bu kullanıcı aracısını aradıktan sonra buraya geldim. Farklı bir IP (91.127.90.220) fakat aynı yaklaşım - sırayla bir formdaki her alan -1 ile değiştirilir.

Kullanıldığını gördüğüm tek zaman, bu yüzden yasaklamanın ileriye dönük olduğuna katılıyorum.