Was ist Apache Synapse?

39

Meine Website wird immer wieder von ungewöhnlichen Anfragen mit der folgenden User-Agent-Zeichenfolge getroffen:

Mozilla/4.0 (compatible; Synapse)

Mit unserem benutzerfreundlichen Tool Google konnte ich feststellen, dass dies die typische Visitenkarte unserer freundlichen Nachbarschaft Apache Synapse ist . Ein 'Lightweight ESB (Enterprise Service Bus)'.

Aufgrund der Informationen, die ich sammeln konnte, weiß ich immer noch nicht, wofür dieses Tool verwendet wird. Ich kann nur sagen, dass dies etwas mit Web-Services zu tun hat und eine Vielzahl von Protokollen unterstützt. Die Infoseite lässt mich nur zu dem Schluss kommen, dass sie etwas mit Proxies und Webdiensten zu tun hat.

Das Problem, auf das ich gestoßen bin, ist, dass wir, obwohl es mir normalerweise egal ist, einiges von russischen IPs getroffen bekommen (nicht, dass die Russischen schlecht sind, aber unsere Website ist ziemlich regional spezifisch) und wann sie es tun. ' Verschieben von seltsamen (nicht xss / bösartigen, zumindest noch nicht) Werten in unsere Parameter für Abfragezeichenfolgen.

Dinge wie &PageNum=-1oder &Brand=25/5/2010 9:04:52 PM.

Bevor ich fortfahre und diesen ips / useragent von unserer Site blockiere, möchte ich einige Hilfe, um zu verstehen, was gerade vor sich geht.

Jede Hilfe wäre sehr dankbar :)

Aren B
quelle
2
Ein unternehmungslustiger Benutzer hier ( goo.gl/baHJn ) hat sich die Quelle für Apache Synapse angesehen. Der verwendete UA-Header stimmt nicht mit der Anzeige Ihrer Protokolle überein. Weiteres Graben seinerseits ergab Ararat Synapse, die diesen Header verwendet.
Doug Wilson
Siehe verwandte Frage und Kommentar auf dieser anderen Stackexchange-Website, security.stackexchange.com/questions/18652/…
Funka
Immer wenn ich diesen User Agent google, stoße ich auf diesen Beitrag. Daher dachte ich, ich sollte einige meiner Ergebnisse mitteilen, falls jemand danach sucht. btpro.net/blog/2013/05/black-revolution-botnet-trojan Dies ist hauptsächlich ein Botnet-Angriff und hat nichts (oder sehr wenig) mit dem Apache Synapse-Projekt zu tun.
Imran Saeed

Antworten:

11

Sind alle IPs aus einem bestimmten Bereich? Ist dieser Bereich einer bestimmten Firma zugeordnet? Wenn dies der Fall ist, schauen Sie einfach nach, wem der Bereich zugewiesen ist, und wenden Sie sich an den aufgeführten technischen Kontakt.

Das wahrscheinlichste, was ich mir vorstellen kann, ist, dass sie Inhalte von Ihrer Webseite entfernen oder etwas programmieren, das Inhalte entfernt (was die seltsamen Randbedingungen als Argumente erklärt).

Es könnte etwas weniger unschuldig sein, ich weiß nicht, welche Daten Sie schützen wollen (es könnte etwas wert sein). Sie könnten versuchen, eine Fehlerseite bereitzustellen, die sensible Debug-Informationen ausgeben kann. In diesem Fall würde ich vorschlagen, eine Web-App-Firewall einzurichten. Sie sollen verhindern, dass diese Art von vertraulichen Fehlermeldungen und anderen Missbräuchen auftritt.

Sie könnten einfach versuchen, die IP-Bereiche zu sperren und sehen, wer sich beschwert ... obwohl dies Ihr letzter Ausweg ist.

Daisetsu
quelle
Alle Site-Fehler werden mit einer kleinen "Site Error" -Seite dargestellt. Wenn sie uns nur abkratzen, ist es mir egal, dass derzeit jedes Mal, wenn ein Benutzer eine Ausnahmebedingung generiert, die nicht behandelt wird, diese per E-Mail protokolliert wird. Ich bekomme 100+ pro Tag von diesem Kerl alleine. Natürlich besteht die einfache Lösung darin, mehr Fehler zu behandeln, aber dieser Motor schien ziemlich faul zu sein, als ich ihn betrachtete, also war ich besorgt.
Aren B
25

Ich bin mir ziemlich sicher, dass dies nicht Apache Synapse ist, sondern einige Tools, die mit Ararat Synapse erstellt wurden , einer Delphi TCP / IP-Bibliothek. Ich habe den Quellcode aus beiden Projekten heruntergeladen und soweit ich sehen kann, hat Apache Synapse einen konfigurierbaren Benutzeragenten. Der Standard ist:

Bildbeschreibung hier eingeben

Auf der anderen Seite hat Ararat Synapse diesen Standardbenutzeragenten:

Bildbeschreibung hier eingeben

Es ist genau so, wie Sie es in Ihren Protokollen haben, und ich habe genau den gleichen Benutzeragenten, der mit verschiedenen SQL-Injection-Angriffen getestet wird. Wahrscheinlich verwenden die Angreifer einige Tools, die in Delphi mit der Ararat Synapse-Bibliothek erstellt wurden.

Da die bösen Jungs den Standard-User-Agent nicht geändert haben, ist es sicher, diesen zu blockieren:

Mozilla/4.0 (compatible; Synapse)

nicht teilweise, weil Sie einige legitime Tools blockieren können, die auf Apache Synapse ausgeführt werden, und ich glaube, dass jeder legitime Bot oder jedes legitime Projekt einen Benutzeragenten definieren und sich nicht standardmäßig verstecken würde.

Es hat keinen Sinn, IPs zu blockieren, da der Angriff anscheinend von verschiedenen IP-Adressen auf der ganzen Welt ausgeht, wahrscheinlich von einigen Botnetzen.

Antonio Bakula
quelle
"Jeder legitime Bot oder jedes legitime Projekt würde User-Agent definieren und sich nicht standardmäßig verstecken." Es gibt keine Fehler darin, die Standard-User-Agent-Zeichenfolge unverändert zu lassen !!! Ich würde einem unbekannten Benutzeragenten viel mehr misstrauen, aber Sie können nicht jeden einzelnen kennen. Ihre Lösung (sicheres Blockieren des Benutzeragenten) ist wie das Sperren dynamischer IP-Adressen eine schlechte Praxis. Bots verwenden die bekanntesten oder völlig unbekannten Agenten. Dieser ist definitiv nicht.
Darkendorf
6

Dieselbe Person, die versucht, -1 in den Viewstate zu injizieren:

finder-query: -1'

Es ist wahrscheinlich ein automatisiertes SQL-Injection-Tester-Tool.

Leise
quelle
Ich würde sogar sagen, spritze -1 '(Apostroph ist wichtig)
Billy
5

Ich habe kürzlich gesehen, dass dieser User-Agent von einer IP kommt:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] GET /view/pubcal.php?event=17 'HTTP / 1.0 200 405 - Mozilla / 4.0 (kompatibel ; Synapse) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] GET /view/pubcal.php?event=16 'HTTP / 1.0 200 405 - Mozilla / 4.0 (kompatibel ; Synapse) "

Es folgte ziemlich bald ein definitiv böswilliger User Agent (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] GET /view/pubcal.php?event=1 HTTP / 1.1 200 6627 - Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] GET /view/pubcal.php?event=999999.9 HTTP / 1.1 200 2235 - Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij

Es folgten mehrere Versuche zur SQL-Injection.

Synapse ist an und für sich nicht böswillig, aber es scheint verwendet zu werden, um datengesteuerte Websites zu untersuchen. Wenn Ihre Website niemandem eine API bietet, würde ich diesen User Agent blockieren. Verwenden Sie möglicherweise den Apache-Badbots-Filter in fail2ban, um den Datenverkehr von IP-Adressen zu blockieren, die versuchen, diese Agentenzeichenfolge zu verwenden. Und steck 'Havij' auch da rein, wenn du schon dabei bist.

Adam Thompson
quelle
3

Ich habe meine Datenbank mit über 75 Millionen von unserer Sicherheitsanwendung erfassten Anfragen überprüft und nur diesen Benutzeragenten ohne Referrer-URL gefunden.

Außerdem sehe ich, dass sie innerhalb von weniger als einer Minute auf verschiedene Subdomains treffen und ein normaler Besucher nicht so schnell navigieren kann.

Ich zähle nur 23 Anfragen für diesen User Agent, also habe ich die Jungs geblockt. Hier die IP-Adressen meiner Sites:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
slhck
quelle
2
Wahrscheinlich wird ein Botnetz verwendet. Ich glaube nicht, dass ein Verbot dieser IPs jemandem viel helfen würde.
Aren B
2
Abgesehen davon, dass alle Adressen dynamische IPs sind und Sie eventuell zahlende Kunden blockieren ...
ZaB
1

Ich bin hierher gekommen, nachdem ich nach diesem Benutzeragenten gesucht habe. Eine andere IP (91.127.90.220), aber derselbe Ansatz - jedes Feld eines Formulars wird nacheinander durch -1 ersetzt [Zitat].

Es ist das einzige Mal, dass ich es jemals gesehen habe, also stimme ich zu, dass es der Weg in die Zukunft ist, es zu verbieten.

Nick
quelle
Für das, was es wert ist, tut 'Apache Synapse' dies nicht. Das verwendete Tool hat eine ähnliche Agentenzeichenfolge. Ich schlage vor, Sie lesen die anderen Antworten für weitere Informationen.
Aren B