Що таке синапс Apache?

Мій веб-сайт постійно отримує враження від незвичайних запитів із наступною ланкою користувача-агента:

Mozilla/4.0 (compatible; Synapse)

За допомогою нашого дружнього інструменту Google я зміг визначити, що це відмітна візитна картка нашого доброзичливого мікрорайону Apache Synapse . "Легкий ESB (Enterprise Service Bus)".

Тепер, виходячи з цієї інформації, яку мені вдалося зібрати, я досі не маю поняття, для чого використовується цей інструмент. Все, що я можу сказати, - це те, що має щось спільне з Web-сервісами та підтримує різноманітні протоколи. Сторінка «Інфо» підводить мене лише до висновку, що вона має щось спільне з проксі-серверами та веб-сервісами.

Проблема, з якою я зіткнувся, полягає в тому, що, як правило, мені було б байдуже, ми досить сильно вражаємось російськими IP-адресами (не те, що російські погані, але наш сайт є досить регіональним), і коли вони роблять це ' Ви повторно вписуєте значення wierd (не принаймні xss / зловмисні ще не) в наші параметри рядка запиту.

Такі речі, як &PageNum=-1або &Brand=25/5/2010 9:04:52 PM.

Перш ніж я продовжую і заблокувати ці ips / useragent з нашого сайту, я хотів би допомогти зрозуміти, що відбувається.

Будь-яка допомога буде дуже вдячна :)

Чи всі IP-адреси з певного діапазону? Чи присвоєно цей діапазон конкретній компанії? Якщо це так, просто знайдіть, кому призначений діапазон, і зверніться до перерахованого Технічного контакту.

Найбільш вірогідне, про що я можу придумати, - це те, що вони викреслюють вміст з вашої веб-сторінки або програмують щось, що буде скребли вміст (що пояснює дивні граничні умови як аргументи).

Це може бути щось трохи менш невинне, я не знаю, які дані ви намагаєтесь захистити (це може щось вартувати). Вони можуть намагатися відкрити сторінку помилки, яка може скидати сенсативну інформацію про налагодження. У такому випадку я б запропонував встановити брандмауер веб-додатків. Вони створені для того, щоб запобігти виникненню таких чутливих повідомлень про помилки та інших зловживань.

Ви можете просто спробувати заборонити діапазон IP та побачити, хто скаржиться ... хоча це остання можливість.

Я майже впевнений, що це не Apache Synapse, це деякі інструменти, побудовані за допомогою Ararat Synapse , що є бібліотекою TCP / IP Delphi в Delphi . Я завантажив вихідний код з обох проектів, і, наскільки я бачу, Apache Synapse має налаштований користувальницький агент, а за замовчуванням:

З іншого боку, Ararat Synapse має цей користувальницький агент за замовчуванням:

Це так само, як у вас, що у вас у ваших журналах, і у мене точно такий же користувальницький агент, який перевіряє різні атаки ін'єкцій SQL. Ймовірно, зловмисники використовують деякі інструменти, побудовані в Delphi з бібліотекою Арарат Синапс.

Оскільки погані хлопці не змінили типовий користувальницький агент, я вважаю, що це безпечно заблокувати цей:

Mozilla/4.0 (compatible; Synapse)

частково, тому що ви можете заблокувати деякі законні інструменти, запущені на Apache Synapse, і я вважаю, що будь-який законний бот або проект визначав би користувальницький агент, а не ховався за замовчуванням.

Немає сенсу блокувати IP-адреси, оскільки, схоже, атака надходить з різних IP-адрес по всьому світу, ймовірно, з деяких ботнетів.

Той самий чоловік, який намагається ввести -1 в зону перегляду:

finder-query: -1'

Ймовірно, це автоматизований інструмент тестеру інжекцій SQL.

Нещодавно я бачив, як цей Користувач-агент походить з однієї IP-адреси:

217.35.nn.nn - - [21 / лют / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (сумісний ; Синапс) "
217.35.nn.nn - - [21 / лют / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (сумісний ; Синапс) "

Це був досить незабаром пішов безумовно шкідливим агентом користувача (Havij):

217.35.nn.nn - - [21 / лют / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (сумісний; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / лют / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (сумісний; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Після цього було кілька спроб ін'єкції SQL.

Synapse сама по собі не є шкідливою, але, здається, використовується для дослідження веб-сайтів, керованих даними. Якщо ваш веб-сайт не пропонує API нікому, я б заблокував цей Агент користувача. Можливо, використовуйте фільтр apache-badbots в fail2ban для блокування трафіку з IP-адрес, які намагаються використовувати цей рядок агента. І приклеїти "Хавія" туди теж, поки ти на це.

Я перевірив свою базу даних із понад 75 мільйонами запитів, зібраних нашою програмою безпеки, і виявив лише цей користувальницький агент без будь-якої URL-адреси перенаправлення.

Також я можу помітити, що вони потрапляють на різні субдомени за менше хвилини, і звичайний відвідувач не міг так швидко переміщатися.

Я рахую лише 23 запити на цей користувальницький агент, тому я заблокував хлопців. Ось IP-адреси з моїх сайтів:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Я прийшов сюди після пошуку цього агента користувача. Інший IP (91.127.90.220), але той самий підхід - кожне поле з форми замінюється по черзі на -1 [цитата].

Це єдиний раз, коли я коли-небудь бачив, щоб він використовувався, тому я погоджуюся, що заборона це шлях вперед.