Meine Website wird immer wieder von ungewöhnlichen Anfragen mit der folgenden User-Agent-Zeichenfolge getroffen:
Mozilla/4.0 (compatible; Synapse)
Mit unserem benutzerfreundlichen Tool Google konnte ich feststellen, dass dies die typische Visitenkarte unserer freundlichen Nachbarschaft Apache Synapse ist . Ein 'Lightweight ESB (Enterprise Service Bus)'.
Aufgrund der Informationen, die ich sammeln konnte, weiß ich immer noch nicht, wofür dieses Tool verwendet wird. Ich kann nur sagen, dass dies etwas mit Web-Services zu tun hat und eine Vielzahl von Protokollen unterstützt. Die Infoseite lässt mich nur zu dem Schluss kommen, dass sie etwas mit Proxies und Webdiensten zu tun hat.
Das Problem, auf das ich gestoßen bin, ist, dass wir, obwohl es mir normalerweise egal ist, einiges von russischen IPs getroffen bekommen (nicht, dass die Russischen schlecht sind, aber unsere Website ist ziemlich regional spezifisch) und wann sie es tun. ' Verschieben von seltsamen (nicht xss / bösartigen, zumindest noch nicht) Werten in unsere Parameter für Abfragezeichenfolgen.
Dinge wie &PageNum=-1
oder &Brand=25/5/2010 9:04:52 PM
.
Bevor ich fortfahre und diesen ips / useragent von unserer Site blockiere, möchte ich einige Hilfe, um zu verstehen, was gerade vor sich geht.
Jede Hilfe wäre sehr dankbar :)
quelle
Antworten:
Sind alle IPs aus einem bestimmten Bereich? Ist dieser Bereich einer bestimmten Firma zugeordnet? Wenn dies der Fall ist, schauen Sie einfach nach, wem der Bereich zugewiesen ist, und wenden Sie sich an den aufgeführten technischen Kontakt.
Das wahrscheinlichste, was ich mir vorstellen kann, ist, dass sie Inhalte von Ihrer Webseite entfernen oder etwas programmieren, das Inhalte entfernt (was die seltsamen Randbedingungen als Argumente erklärt).
Es könnte etwas weniger unschuldig sein, ich weiß nicht, welche Daten Sie schützen wollen (es könnte etwas wert sein). Sie könnten versuchen, eine Fehlerseite bereitzustellen, die sensible Debug-Informationen ausgeben kann. In diesem Fall würde ich vorschlagen, eine Web-App-Firewall einzurichten. Sie sollen verhindern, dass diese Art von vertraulichen Fehlermeldungen und anderen Missbräuchen auftritt.
Sie könnten einfach versuchen, die IP-Bereiche zu sperren und sehen, wer sich beschwert ... obwohl dies Ihr letzter Ausweg ist.
quelle
Ich bin mir ziemlich sicher, dass dies nicht Apache Synapse ist, sondern einige Tools, die mit Ararat Synapse erstellt wurden , einer Delphi TCP / IP-Bibliothek. Ich habe den Quellcode aus beiden Projekten heruntergeladen und soweit ich sehen kann, hat Apache Synapse einen konfigurierbaren Benutzeragenten. Der Standard ist:
Auf der anderen Seite hat Ararat Synapse diesen Standardbenutzeragenten:
Es ist genau so, wie Sie es in Ihren Protokollen haben, und ich habe genau den gleichen Benutzeragenten, der mit verschiedenen SQL-Injection-Angriffen getestet wird. Wahrscheinlich verwenden die Angreifer einige Tools, die in Delphi mit der Ararat Synapse-Bibliothek erstellt wurden.
Da die bösen Jungs den Standard-User-Agent nicht geändert haben, ist es sicher, diesen zu blockieren:
nicht teilweise, weil Sie einige legitime Tools blockieren können, die auf Apache Synapse ausgeführt werden, und ich glaube, dass jeder legitime Bot oder jedes legitime Projekt einen Benutzeragenten definieren und sich nicht standardmäßig verstecken würde.
Es hat keinen Sinn, IPs zu blockieren, da der Angriff anscheinend von verschiedenen IP-Adressen auf der ganzen Welt ausgeht, wahrscheinlich von einigen Botnetzen.
quelle
Dieselbe Person, die versucht, -1 in den Viewstate zu injizieren:
Es ist wahrscheinlich ein automatisiertes SQL-Injection-Tester-Tool.
quelle
Ich habe kürzlich gesehen, dass dieser User-Agent von einer IP kommt:
Es folgte ziemlich bald ein definitiv böswilliger User Agent (Havij):
Es folgten mehrere Versuche zur SQL-Injection.
Synapse ist an und für sich nicht böswillig, aber es scheint verwendet zu werden, um datengesteuerte Websites zu untersuchen. Wenn Ihre Website niemandem eine API bietet, würde ich diesen User Agent blockieren. Verwenden Sie möglicherweise den Apache-Badbots-Filter in fail2ban, um den Datenverkehr von IP-Adressen zu blockieren, die versuchen, diese Agentenzeichenfolge zu verwenden. Und steck 'Havij' auch da rein, wenn du schon dabei bist.
quelle
Ich habe meine Datenbank mit über 75 Millionen von unserer Sicherheitsanwendung erfassten Anfragen überprüft und nur diesen Benutzeragenten ohne Referrer-URL gefunden.
Außerdem sehe ich, dass sie innerhalb von weniger als einer Minute auf verschiedene Subdomains treffen und ein normaler Besucher nicht so schnell navigieren kann.
Ich zähle nur 23 Anfragen für diesen User Agent, also habe ich die Jungs geblockt. Hier die IP-Adressen meiner Sites:
quelle
Ich bin hierher gekommen, nachdem ich nach diesem Benutzeragenten gesucht habe. Eine andere IP (91.127.90.220), aber derselbe Ansatz - jedes Feld eines Formulars wird nacheinander durch -1 ersetzt [Zitat].
Es ist das einzige Mal, dass ich es jemals gesehen habe, also stimme ich zu, dass es der Weg in die Zukunft ist, es zu verbieten.
quelle