38

Мой сайт продолжает получать нечетные запросы со следующей строкой user-agent:

Mozilla/4.0 (compatible; Synapse)

Используя наш дружественный инструмент Google, я смог определить, что это визитная карточка нашего дружественного соседа Apache Synapse. «Легкий ESB (Enterprise Service Bus)».

Теперь, основываясь на этой информации, которую я смог собрать, я до сих пор не знаю, для чего этот инструмент используется. Все, что я могу сказать, это то, что это как-то связано с веб-сервисами и поддерживает множество протоколов. Страница информации только заставляет меня заключить, что она имеет какое-то отношение к прокси и веб-сервисам.

Проблема, с которой я сталкиваюсь, заключается в том, что, хотя обычно меня это не волнует, российские IP-адреса сильно поражают нас (не то, что русские плохие, но наш сайт довольно специфичен для каждого региона), и когда они это делают, ' добавив странные (не xss/ вредоносные, по крайней мере, пока) значения в параметры строки запроса.

Такие вещи, как &PageNum=-1 или &Brand=25/5/2010 9:04:52 PM .

Прежде чем я начну блокировать эти ips/useragent с нашего сайта, мне нужна помощь в понимании того, что происходит.

Любая помощь будет принята с благодарностью :)

6 ответов6

25

Я почти уверен, что это не Apache Synapse, а некоторые инструменты, созданные с помощью Ararat Synapse, который является библиотекой Delphi TCP/IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый пользовательский агент, и по умолчанию:

С другой стороны, у Ararat Synapse есть этот пользовательский агент по умолчанию:

Это похоже на то, что есть в ваших журналах, и у меня точно такой же пользовательский агент, исследующий различные атаки SQL-инъекций. Вероятно, злоумышленники используют некоторые инструменты, созданные в Delphi с библиотекой Ararat Synapse.

Так как злоумышленники не изменили пользовательский агент по умолчанию, я думаю, это безопасно заблокировать:

Mozilla/4.0 (compatible; Synapse)

не частично, потому что вы можете заблокировать некоторые легитимные инструменты, работающие в Apache Synapse, и я считаю, что любой легитимный бот или проект определит пользовательский агент и не будет скрываться по умолчанию.

Нет смысла блокировать IP-адреса, потому что кажется, что атака идет с различных IP-адресов по всему миру, возможно, с некоторых ботнетов.

11

Все ли IP-адреса из определенного диапазона? Этот диапазон назначен определенной компании? Если это так, просто посмотрите, кому назначен диапазон, и свяжитесь с указанным техническим контактом.

Наиболее вероятная вещь, о которой я могу думать, это то, что они соскребают контент с вашей веб-страницы или программируют что-то, что будет очищать контент (который объясняет странные граничные условия в качестве аргументов).

Это может быть что-то менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Они могут пытаться раскрыть страницу с ошибкой, которая может вывести чувствительную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для того, чтобы предотвратить появление таких чувствительных сообщений об ошибках и других злоупотреблений.

Вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется ... хотя это ваше последнее средство.

6

Тот же человек пытается ввести -1 в viewstate:

finder-query: -1'

Это, вероятно, автоматизированный инструмент для тестирования SQL-инъекций.

5

Недавно я видел, что этот пользовательский агент приходит с одного IP:

217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

За ним вскоре последовал явно вредоносный пользовательский агент (Хавидж):

217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

За этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, он используется для проверки сайтов, управляемых данными. Если ваш сайт никому не предлагает API, я бы заблокировал этот пользовательский агент. Возможно, используйте фильтр apache-badbots в fail2ban для блокировки трафика с IP-адресов, которые пытаются использовать эту строку агента. И воткни туда "Хавидж", пока ты на нем.

3

Я проверил свою базу данных с помощью более 75 миллионов запросов, собранных нашим приложением безопасности, и обнаружил, что только пользовательский агент без URL-адреса реферера.

Кроме того, я вижу, что они поразили различные субдомены менее чем за минуту, и обычный посетитель не мог перемещаться так быстро.

Я считаю только 23 запроса для этого пользовательского агента, поэтому я заблокировал парней. Вот IP-адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
1

Я пришел сюда после поиска этого агента пользователя. Другой IP (91.127.90.220), но тот же подход - каждое поле формы заменяется по очереди на -1 [quote].

Это единственный раз, когда я видел, как он использовался, поэтому я согласен, что запретить это путь вперед.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .