Situs web saya terus terkena permintaan aneh dengan string agen-pengguna berikut:
Mozilla/4.0 (compatible; Synapse)
Menggunakan alat ramah kami, Google, saya dapat menentukan ini adalah kartu panggilan ciri khas dari lingkungan ramah kami, Apache Synapse . A 'ESB Ringan (Bus Layanan Perusahaan)'.
Sekarang, berdasarkan informasi yang saya dapat kumpulkan, saya masih tidak tahu apa alat ini digunakan. Yang bisa saya katakan adalah ada hubungannya dengan Layanan-Web, dan mendukung berbagai protokol. Halaman Info hanya menuntun saya untuk menyimpulkan bahwa itu ada hubungannya dengan proxy, dan layanan web.
Masalah yang saya temui adalah bahwa sementara biasanya saya tidak peduli, kami sedikit terpukul oleh IP Rusia (bukan berarti Rusia buruk, tetapi situs kami cukup spesifik secara regional), dan ketika mereka melakukannya, mereka mendorong kembali nilai aneh (bukan xss / jahat setidaknya belum) ke dalam parameter string kueri kami.
Hal-hal seperti &PageNum=-1
atau &Brand=25/5/2010 9:04:52 PM
.
Sebelum saya melanjutkan dan memblokir ips / agen pengguna ini dari situs kami, saya ingin bantuan memahami apa yang sedang terjadi.
Setiap bantuan akan sangat dihargai :)
sumber
Jawaban:
Apakah semua IP dari rentang tertentu? Apakah rentang itu ditetapkan untuk perusahaan tertentu? Jika ya, cari saja kisaran yang ditetapkan dan hubungi Kontak Teknis yang tercantum.
Hal yang paling mungkin saya pikirkan adalah mereka menggores konten dari halaman web Anda atau memprogram sesuatu yang akan mengikis konten (yang menjelaskan kondisi batas aneh sebagai argumen).
Itu bisa menjadi sesuatu yang sedikit tidak bersalah, saya tidak tahu data apa yang Anda coba lindungi (bisa bernilai sesuatu). Mereka mungkin mencoba mengekspos halaman kesalahan yang dapat membuang informasi debug yang sensatif. Jika itu masalahnya maka saya akan menyarankan menyiapkan firewall aplikasi web. Mereka dibuat untuk mencegah terjadinya pesan kesalahan sensitif dan penyalahgunaan lainnya.
Anda bisa saja mencoba melarang rentang IP dan melihat siapa yang mengeluh ... meskipun itu pilihan terakhir Anda.
sumber
Saya cukup yakin bahwa ini bukan Apache Synapse, ini beberapa alat yang dibangun dengan Ararat Synapse , yang merupakan pustaka TCP / IP Delphi . Saya mengunduh kode sumber dari kedua proyek, dan sejauh yang saya bisa lihat, Apache Synapse memiliki agen-pengguna yang dapat dikonfigurasi, dan standarnya adalah:
Di sisi lain, Ararat Synapse memiliki agen pengguna default ini:
Sama seperti yang Anda miliki di log, dan saya memiliki agen pengguna yang sama persis menyelidik dengan berbagai serangan injeksi SQL. Mungkin penyerang menggunakan beberapa alat yang dibangun di Delphi dengan perpustakaan Ararat Synapse.
Karena orang jahat tidak mengubah agen-pengguna default, saya pikir aman untuk memblokir yang satu ini:
bukan sebagian karena Anda dapat memblokir beberapa alat yang sah yang berjalan di Apache Synapse, dan saya percaya bahwa bot atau proyek apa pun yang sah akan mendefinisikan agen pengguna dan tidak bersembunyi dengan default.
Tidak ada gunanya memblokir IP karena tampaknya serangan itu datang dari berbagai alamat IP di seluruh dunia, mungkin beberapa botnet.
sumber
Orang yang sama yang mencoba menyuntikkan -1 ke dalam kondisi tampilan:
Itu mungkin alat penguji injeksi SQL otomatis.
sumber
Baru-baru ini saya melihat Agen-Pengguna ini berasal dari satu IP:
Itu cukup singkat diikuti oleh agen pengguna yang jelas - jelas berbahaya (Havij):
Ini diikuti oleh beberapa upaya injeksi SQL.
Synapse tidak berbahaya dalam dirinya sendiri, tetapi tampaknya digunakan untuk menyelidiki situs web yang digerakkan oleh data. Jika situs web Anda tidak menawarkan API kepada siapa pun, saya akan memblokir Agen Pengguna ini. Mungkin menggunakan filter apache-badbots di fail2ban untuk memblokir lalu lintas dari alamat IP yang mencoba menggunakan string agen ini. Dan menempelkan 'Havij' di sana, juga saat Anda berada di sana.
sumber
Saya telah memeriksa database saya dengan lebih dari 75 juta permintaan yang dikumpulkan oleh aplikasi keamanan kami dan hanya menemukan agen pengguna itu tanpa URL pengarah.
Juga, saya dapat melihat bahwa mereka menekan berbagai subdomain dalam waktu kurang dari satu menit dan pengunjung normal tidak dapat menavigasi dengan begitu cepat.
Saya hanya menghitung 23 permintaan untuk agen pengguna itu jadi saya telah memblokir orang-orang itu. Di sini alamat IP dari situs saya:
sumber
Saya datang ke sini setelah mencari agen pengguna ini. IP berbeda (91.127.90.220) tetapi pendekatan yang sama - setiap bidang dari formulir diganti secara berurutan dengan -1 [kutipan].
Ini satu-satunya waktu saya pernah melihatnya digunakan, jadi saya setuju bahwa melarang itu adalah jalan ke depan.
sumber