39 votes

Aren B avatar

Qu'est-ce qu'Apache Synapse ?

Demandé el 28 de Mai, 2010
Quand la question a-t-elle été
17165 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon site Web reçoit sans cesse des requêtes étranges avec la chaîne user-agent suivante :

Mozilla/4.0 (compatible; Synapse)

Utiliser notre outil convivial Google J'ai pu déterminer que c'est la carte de visite de notre sympathique quartier. Apache Synapse . Un "ESB (Enterprise Service Bus) léger".

Sur la base des informations que j'ai pu recueillir, je n'ai toujours aucune idée de ce à quoi sert cet outil. Tout ce que je peux dire, c'est qu'il a quelque chose à voir avec les services Web et qu'il supporte une variété de protocoles. La page d'information me permet seulement de conclure qu'il a quelque chose à voir avec les proxies et les services Web.

Le problème que j'ai rencontré est que, alors que normalement je ne m'en soucierais pas, nous sommes assez souvent touchés par des IP russes (non pas que les Russes soient mauvais, mais notre site est assez spécifique à une région), et lorsqu'ils le font, ils introduisent des valeurs bizarres (pas xss/malveillantes, du moins pas encore) dans les paramètres de notre chaîne de requête.

Des choses comme &PageNum=-1 o &Brand=25/5/2010 9:04:52 PM .

Avant d'aller de l'avant et de bloquer ces ips/useragent de notre site, j'aimerais avoir de l'aide pour comprendre ce qui se passe.

Toute aide serait grandement appréciée :)

Demandé el 28 de Mai, 2010 par Aren B

Réponses

Trop de publicités?

25voto

user47490 avatar
user47490 Points 3

Je suis presque sûr que ce n'est pas Apache Synapse, ce sont des outils construits avec Synapse d'Ararat qui est un Delphi Bibliothèque TCP/IP. J'ai téléchargé le code source des deux projets, et pour autant que je puisse voir, Apache Synapse a un user-agent configurable, et le défaut est :

enter image description here

Par contre, Ararat Synapse a cet agent utilisateur par défaut :

enter image description here

C'est exactement comme celui que vous avez dans vos journaux, et j'ai exactement le même agent utilisateur qui sonde avec diverses attaques par injection SQL. Les attaquants utilisent probablement des outils construits en Delphi avec la bibliothèque Ararat Synapse.

Puisque les méchants n'ont pas changé l'agent utilisateur par défaut, je pense qu'il est possible de bloquer celui-ci :

Mozilla/4.0 (compatible; Synapse)

pas partiellement parce que vous pouvez bloquer certains outils légitimes fonctionnant sur Apache Synapse, et je crois que tout bot ou projet légitime définirait un user-agent et ne se cacherait pas par défaut.

Il est inutile de bloquer les IP, car il semble que l'attaque provienne de diverses adresses IP dans le monde, probablement des botnets.

Répondu el 4 de Octobre, 2013 par user47490 (3 Points )

11voto

Daisetsu avatar
Daisetsu Points 5655

Toutes les adresses IP proviennent-elles d'une gamme spécifique ? Cette gamme est-elle attribuée à une entreprise spécifique ? Si c'est le cas, il suffit de vérifier à qui la gamme est attribuée et de contacter le contact technique indiqué.

La chose la plus probable à laquelle je pense est qu'ils raclent le contenu de votre page web ou qu'ils programment quelque chose qui racle le contenu (ce qui explique les conditions limites bizarres comme arguments).

Il pourrait s'agir de quelque chose d'un peu moins innocent, je ne sais pas quelles données vous essayez de protéger (elles pourraient avoir de la valeur). Ils pourraient essayer d'exposer une page d'erreur qui peut déverser des informations de débogage sensibles. Si c'est le cas, je vous suggère de mettre en place un pare-feu pour les applications Web. Ils sont conçus pour empêcher ce type de messages d'erreur sensibles et d'autres abus de se produire.

Vous pourriez simplement essayer de bannir les plages d'adresses IP et voir qui se plaint... bien que ce soit votre dernier recours.

Répondu el 28 de Mai, 2010 par Daisetsu (5655 Points )

6voto

PyjamaSam avatar
PyjamaSam Points 7802

La même personne essayant d'injecter -1 dans l'état de vue :

finder-query: -1'

C'est probablement un outil de test d'injection SQL automatisé.

Répondu el 13 de Novembre, 2010 par PyjamaSam (7802 Points )

5voto

Adirael avatar
Adirael Points 5207

J'ai récemment vu cet agent utilisateur provenant d'une IP :

217.35.nn.nn - - \[21/Feb/2012:07:01:22 +0000\] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - \[21/Feb/2012:08:06:31 +0000\] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

Il a été assez rapidement suivi par un définitivement agent utilisateur malveillant (Havij) :

217.35.nn.nn - - \[21/Feb/2012:10:44:26 +0000\] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - \[21/Feb/2012:10:44:26 +0000\] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

Cela a été suivi par plusieurs tentatives d'injection SQL.

Synapse n'est pas malveillant en soi, mais il semble qu'il soit utilisé pour sonder les sites Web axés sur les données. Si votre site Web n'offre pas d'API à qui que ce soit, je bloquerais cet agent utilisateur. Peut-être utiliser le filtre apache-badbots dans fail2ban pour bloquer le trafic provenant d'adresses IP qui tentent d'utiliser cette chaîne d'agent. Et mettez aussi "Havij", tant que vous y êtes.

Répondu el 9 de Mars, 2012 par Adirael (5207 Points )

3voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

J'ai vérifié ma base de données avec plus de 75 millions de demandes recueillies par notre application de sécurité et je n'ai trouvé que cet agent utilisateur sans aucune URL de référence.

Je constate également qu'ils ont atteint plusieurs sous-domaines en moins d'une minute. Un visiteur normal ne pourrait pas naviguer aussi rapidement.

Je ne compte que 23 demandes pour cet agent utilisateur, j'ai donc bloqué les gars. Voici les adresses IP de mes sites :

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
Répondu el 30 de Octobre, 2010 par Utilisateur non enregistré (0 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X