O que é o Apache Synapse?

39

Meu site continua sendo atingido por solicitações ímpares com a seguinte sequência de agente de usuário:

Mozilla/4.0 (compatible; Synapse)

Usando nossa ferramenta amigável do Google, eu pude determinar que esse é o cartão de visita do nosso amigável Apache Synapse . Um 'ESB Leve (Enterprise Service Bus)'.

Agora, com base nessas informações que pude reunir, ainda não tenho idéia para que serve essa ferramenta. Tudo o que posso dizer é que isso tem algo a ver com serviços da Web e suporta uma variedade de protocolos. A página de informações só me leva a concluir que tem algo a ver com proxies e serviços da web.

O problema que encontrei é que, embora normalmente não me importe, somos atingidos um pouco pelos IPs russos (não que os russos sejam ruins, mas nosso site é bastante específico da região), e quando eles fazem isso ' reenviar valores estranhos (não xss / maliciosos, pelo menos ainda não) para nossos parâmetros de string de consulta.

Coisas como &PageNum=-1ou &Brand=25/5/2010 9:04:52 PM.

Antes de prosseguir e bloquear esses ips / useragent em nosso site, gostaria de alguma ajuda para entender exatamente o que está acontecendo.

Qualquer ajuda seria muito apreciada :)

apache-http-server user-agent Aren B
fonte
2
Um usuário empreendedor por aqui ( goo.gl/baHJn ) deu uma olhada na fonte do Apache Synapse. O cabeçalho do UA que ele usa não corresponde ao que seus logs mostram. Outras escavações de sua parte resultaram no Ararat Synapse, que usa esse cabeçalho.
Doug Wilson
Veja pergunta e comentário relacionado a este outro site Stackexchange, security.stackexchange.com/questions/18652/...
Funka
Sempre que procuro no Google neste agente de usuário, encontro este post, por isso pensei em compartilhar algumas das minhas descobertas, caso alguém a esteja procurando. btpro.net/blog/2013/05/black-revolution-botnet-trojan Este é principalmente um ataque de botnet e não tem nada (ou muito pouco) a ver com o projeto Apache Synapse.
Imran Saeed

Respostas:

11

Todos os IPs estão em um intervalo específico? Esse intervalo é atribuído a uma empresa específica? Se for, basta pesquisar a quem o intervalo está atribuído e entrar em contato com o Contato técnico listado.

A coisa mais provável em que consigo pensar é que eles estão raspando o conteúdo da sua página da Web ou programando algo que raspa o conteúdo (o que explica as estranhas condições de contorno como argumentos).

Pode ser algo um pouco menos inocente, não sei quais dados você está tentando proteger (pode valer alguma coisa). Eles podem estar tentando expor uma página de erro que pode despejar informações de depuração confidenciais. Se for esse o caso, sugiro configurar um firewall de aplicativo da web. Eles são feitos para impedir que esse tipo de mensagens de erro confidenciais e outros abusos aconteçam.

Você pode tentar banir os intervalos de IP e ver quem reclama ... embora esse seja seu último recurso.

Daisetsu
fonte
Todos os erros de site são apresentados com uma pequena e agradável página "Erro de site". Se eles estão apenas nos arrastando, eu não me importo, é que atualmente, sempre que um usuário gera uma exceção que não é tratada, ele é registrado no e-mail. Eu recebo mais de 100 por dia desse cara sozinho. É claro que a solução mais simples é lidar com mais erros, mas esse mecanismo parecia bastante suspeito quando eu o examinei, então fiquei preocupado.
Aren B
25

Tenho certeza de que este não é o Apache Synapse, são algumas ferramentas criadas com o Ararat Synapse , que é uma biblioteca Delphi TCP / IP. Eu baixei o código fonte dos dois projetos e, até onde posso ver, o Apache Synapse possui um user agent configurável e o padrão é:

insira a descrição da imagem aqui

Por outro lado, o Ararat Synapse possui este agente de usuário padrão:

insira a descrição da imagem aqui

É igual ao que você tem em seus logs, e eu tenho exatamente o mesmo agente de usuário investigando vários ataques de injeção de SQL. Provavelmente os atacantes estão usando algumas ferramentas construídas no Delphi com a biblioteca Ararat Synapse.

Como os bandidos não mudaram o user agent padrão, acho seguro bloquear este:

Mozilla/4.0 (compatible; Synapse)

não parcialmente porque você pode bloquear algumas ferramentas legítimas em execução no Apache Synapse, e acredito que qualquer bot ou projeto legítimo definiria um user agent e não se ocultaria por padrão.

Não faz sentido bloquear IPs porque parece que o ataque vem de vários endereços IP em todo o mundo, provavelmente algumas redes bot.

Antonio Bakula
fonte
"qualquer bot ou projeto legítimo definiria user-agent e não se esconderia por padrão." Não há falhas em permitir que o agente padrão do usuário seja string !!! Eu suspeitaria muito mais de um agente de usuário desconhecido, mas você não pode conhecer todos e cada um. Sua solução (segura para bloquear o agente do usuário) é pura má prática, assim como banir IPs dinâmicos. Os robôs usam os agentes mais conhecidos ou completamente desconhecidos. Este definitivamente não é.
Darkendorf 8/11
6

A mesma pessoa que tenta injetar -1 no viewstate:

finder-query: -1'

Provavelmente é uma ferramenta automatizada de testador de injeção de SQL.

silencioso
fonte
Eu diria mesmo, injetar -1' (apóstrofo é importante)
billy
5

Vi recentemente esse User-Agent vindo de um IP:

217.35.nn.nn - - [21 / fev / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatível ; Sinapse)"
217.35.nn.nn - - [21 / fev / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatível ; Sinapse)"

Logo foi seguido por um agente de usuário definitivamente malicioso (Havij):

217.35.nn.nn - - [21 / fev / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / fev / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Isto foi seguido por várias tentativas de injeção de SQL.

O Synapse não é malicioso por si só, mas parece estar sendo usado para investigar sites controlados por dados. Se o seu site não oferecer uma API a ninguém, eu bloquearia este agente do usuário. Talvez use o filtro apache-badbots no fail2ban para bloquear o tráfego de endereços IP que tentam usar essa cadeia de agentes. E cole 'Havij' lá também, enquanto você estiver nisso.

Adam Thompson
fonte
3

Eu verifiquei meu banco de dados com mais de 75 milhões de solicitações reunidas pelo nosso aplicativo de segurança e só encontrei esse agente de usuário sem nenhum URL de referência.

Além disso, vejo que eles atingem vários subdomínios em menos de um minuto e um visitante normal não consegue navegar tão rapidamente.

Eu conto apenas 23 solicitações para esse agente de usuário, por isso bloqueei os caras. Aqui os endereços IP dos meus sites:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
slhck
fonte
2
Provavelmente está usando uma botnet. Eu não acho que banir esses IPs ajudaria muito alguém.
Aren B
2
Só que todos os endereços são IPs dinâmicos e você está bloqueando, eventualmente, pagar clientes ...
Zab
1

Eu vim aqui depois de procurar esse agente de usuário. Um IP diferente (91.127.90.220), mas com a mesma abordagem - todos os campos de um formulário são substituídos por -1 [aspas].

É a única vez que o vejo sendo usado, então concordo que bani-lo é o caminho a seguir.

usuario
fonte
Pelo que vale, o 'Apache Synapse' não se aplica a esse comportamento. A ferramenta que está sendo usada possui uma sequência de agentes semelhante. Eu sugiro que você leia as outras respostas para obter mais informações.
Aren B