Apa itu Apache Synapse?

39

Situs web saya terus terkena permintaan aneh dengan string agen-pengguna berikut:

Mozilla/4.0 (compatible; Synapse)

Menggunakan alat ramah kami, Google, saya dapat menentukan ini adalah kartu panggilan ciri khas dari lingkungan ramah kami, Apache Synapse . A 'ESB Ringan (Bus Layanan Perusahaan)'.

Sekarang, berdasarkan informasi yang saya dapat kumpulkan, saya masih tidak tahu apa alat ini digunakan. Yang bisa saya katakan adalah ada hubungannya dengan Layanan-Web, dan mendukung berbagai protokol. Halaman Info hanya menuntun saya untuk menyimpulkan bahwa itu ada hubungannya dengan proxy, dan layanan web.

Masalah yang saya temui adalah bahwa sementara biasanya saya tidak peduli, kami sedikit terpukul oleh IP Rusia (bukan berarti Rusia buruk, tetapi situs kami cukup spesifik secara regional), dan ketika mereka melakukannya, mereka mendorong kembali nilai aneh (bukan xss / jahat setidaknya belum) ke dalam parameter string kueri kami.

Hal-hal seperti &PageNum=-1atau &Brand=25/5/2010 9:04:52 PM.

Sebelum saya melanjutkan dan memblokir ips / agen pengguna ini dari situs kami, saya ingin bantuan memahami apa yang sedang terjadi.

Setiap bantuan akan sangat dihargai :)

Aren B
sumber
2
Pengguna giat di sini ( goo.gl/baHJn ) melihat sumber untuk Apache Synapse. Header UA yang digunakannya tidak cocok dengan yang ditampilkan oleh log Anda. Menggali lebih lanjut pada bagiannya muncul Ararat Synapse yang TIDAK menggunakan header itu.
Doug Wilson
Lihat pertanyaan dan komentar terkait di situs stackexchange lainnya ini, security.stackexchange.com/questions/18652/…
Funka
Setiap kali saya google di agen pengguna ini, saya menemukan posting ini jadi saya pikir saya harus membagikan beberapa temuan saya jika seseorang mencarinya. btpro.net/blog/2013/05/black-revolution-botnet-trojan Ini sebagian besar merupakan serangan botnet dan tidak ada hubungannya (atau sangat sedikit) dengan proyek Apache Synapse.
Imran Saeed

Jawaban:

11

Apakah semua IP dari rentang tertentu? Apakah rentang itu ditetapkan untuk perusahaan tertentu? Jika ya, cari saja kisaran yang ditetapkan dan hubungi Kontak Teknis yang tercantum.

Hal yang paling mungkin saya pikirkan adalah mereka menggores konten dari halaman web Anda atau memprogram sesuatu yang akan mengikis konten (yang menjelaskan kondisi batas aneh sebagai argumen).

Itu bisa menjadi sesuatu yang sedikit tidak bersalah, saya tidak tahu data apa yang Anda coba lindungi (bisa bernilai sesuatu). Mereka mungkin mencoba mengekspos halaman kesalahan yang dapat membuang informasi debug yang sensatif. Jika itu masalahnya maka saya akan menyarankan menyiapkan firewall aplikasi web. Mereka dibuat untuk mencegah terjadinya pesan kesalahan sensitif dan penyalahgunaan lainnya.

Anda bisa saja mencoba melarang rentang IP dan melihat siapa yang mengeluh ... meskipun itu pilihan terakhir Anda.

Daisetsu
sumber
Semua kesalahan situs disajikan dengan halaman "Kesalahan Situs" kecil yang menyenangkan. Jika mereka hanya mengikis kita, saya tidak peduli, saat ini setiap kali pengguna membuat pengecualian yang tidak ditangani itu dicatat ke email. Saya mendapat 100+ sehari dari orang ini saja. Tentu saja solusi sederhana adalah untuk menangani lebih banyak kesalahan, tetapi mesin ini rasanya cukup mencurigakan ketika saya melihat ke dalamnya jadi saya khawatir.
Aren B
25

Saya cukup yakin bahwa ini bukan Apache Synapse, ini beberapa alat yang dibangun dengan Ararat Synapse , yang merupakan pustaka TCP / IP Delphi . Saya mengunduh kode sumber dari kedua proyek, dan sejauh yang saya bisa lihat, Apache Synapse memiliki agen-pengguna yang dapat dikonfigurasi, dan standarnya adalah:

masukkan deskripsi gambar di sini

Di sisi lain, Ararat Synapse memiliki agen pengguna default ini:

masukkan deskripsi gambar di sini

Sama seperti yang Anda miliki di log, dan saya memiliki agen pengguna yang sama persis menyelidik dengan berbagai serangan injeksi SQL. Mungkin penyerang menggunakan beberapa alat yang dibangun di Delphi dengan perpustakaan Ararat Synapse.

Karena orang jahat tidak mengubah agen-pengguna default, saya pikir aman untuk memblokir yang satu ini:

Mozilla/4.0 (compatible; Synapse)

bukan sebagian karena Anda dapat memblokir beberapa alat yang sah yang berjalan di Apache Synapse, dan saya percaya bahwa bot atau proyek apa pun yang sah akan mendefinisikan agen pengguna dan tidak bersembunyi dengan default.

Tidak ada gunanya memblokir IP karena tampaknya serangan itu datang dari berbagai alamat IP di seluruh dunia, mungkin beberapa botnet.

Antonio Bakula
sumber
"Bot atau proyek apa pun yang sah akan mendefinisikan agen-pengguna dan tidak menyembunyikan dengan default." Tidak ada kekurangan dalam membiarkan string agen pengguna default seperti !!! Saya akan jauh lebih curiga kepada agen pengguna yang tidak dikenal, tetapi Anda tidak bisa mengetahui masing-masing. Solusi Anda (aman untuk memblokir agen pengguna) adalah praktik buruk murni seperti melarang IP dinamis. Bot menggunakan agen yang paling dikenal atau sama sekali tidak dikenal. Yang ini jelas tidak.
Darkendorf
6

Orang yang sama yang mencoba menyuntikkan -1 ke dalam kondisi tampilan:

finder-query: -1'

Itu mungkin alat penguji injeksi SQL otomatis.

diam
sumber
Saya bahkan akan mengatakan, suntikkan -1 '(apostrof penting)
billy
5

Baru-baru ini saya melihat Agen-Pengguna ini berasal dari satu IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: +0000] "DAPATKAN /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatibel ; Sinaps) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "DAPATKAN / lihat/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatibel ; Sinaps) "

Itu cukup singkat diikuti oleh agen pengguna yang jelas - jelas berbahaya (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "DAPATKAN / lihat/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "DAPATKAN /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Ini diikuti oleh beberapa upaya injeksi SQL.

Synapse tidak berbahaya dalam dirinya sendiri, tetapi tampaknya digunakan untuk menyelidiki situs web yang digerakkan oleh data. Jika situs web Anda tidak menawarkan API kepada siapa pun, saya akan memblokir Agen Pengguna ini. Mungkin menggunakan filter apache-badbots di fail2ban untuk memblokir lalu lintas dari alamat IP yang mencoba menggunakan string agen ini. Dan menempelkan 'Havij' di sana, juga saat Anda berada di sana.

Adam Thompson
sumber
3

Saya telah memeriksa database saya dengan lebih dari 75 juta permintaan yang dikumpulkan oleh aplikasi keamanan kami dan hanya menemukan agen pengguna itu tanpa URL pengarah.

Juga, saya dapat melihat bahwa mereka menekan berbagai subdomain dalam waktu kurang dari satu menit dan pengunjung normal tidak dapat menavigasi dengan begitu cepat.

Saya hanya menghitung 23 permintaan untuk agen pengguna itu jadi saya telah memblokir orang-orang itu. Di sini alamat IP dari situs saya:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
slhck
sumber
2
Mungkin menggunakan botnet. Saya tidak berpikir melarang IP tersebut akan banyak membantu siapa pun.
Aren B
2
Kecuali bahwa semua alamat adalah IP dinamis dan Anda memblokir akhirnya membayar pelanggan ...
ZaB
1

Saya datang ke sini setelah mencari agen pengguna ini. IP berbeda (91.127.90.220) tetapi pendekatan yang sama - setiap bidang dari formulir diganti secara berurutan dengan -1 [kutipan].

Ini satu-satunya waktu saya pernah melihatnya digunakan, jadi saya setuju bahwa melarang itu adalah jalan ke depan.

Nick
sumber
Untuk apa nilainya, 'Apache Synapse' tidak untuk perilaku ini. Alat yang digunakan memiliki string agen yang serupa. Saya sarankan Anda membaca jawaban lain untuk informasi lebih lanjut.
Aren B