什么是Apache Synapse?


39

我的网站不断受到以下用户代理字符串的奇怪请求的打击:

Mozilla/4.0 (compatible; Synapse)

使用我们的友好工具Google,我能够确定这是我们友好社区Apache Synapse的标志性电话卡。“轻量级ESB(企业服务总线)”。

现在,基于我能够收集到的信息,我仍然不知道此工具的用途。我只能说这与Web服务有关,并且支持多种协议。“信息”页面仅使我得出结论,它与代理和Web服务有关。

我遇到的问题是,尽管通常我不会在乎,但我们受到了俄罗斯IP的相当大的打击(并不是说俄语很差,但我们的站点是特定于地区的),而当他们这样做时,将奇怪的值(至少不是xss / malicious)推入我们的查询字符串参数中。

事情是这样&PageNum=-1&Brand=25/5/2010 9:04:52 PM

在继续从我们的网站阻止这些ips / useragent之前,我需要一些帮助来了解正在发生的事情。

任何帮助将不胜感激 :)


2
一位进取的用户(goo.gl/baHJn)查看了Apache Synapse的源代码。它使用的UA标头与您的日志显示不匹配。进一步挖掘他的观点,发现Ararat Synapse确实使用该标头。
道格·威尔逊

请参阅此其他
stackexchange

每当我在该用户代理上使用google进行搜索时,我都会碰到此信息,因此我认为我应该分享我的一些发现,以防有人在寻找它。btpro.net/blog/2013/05/black-revolution-botnet-trojan这主要是一种僵尸网络攻击,与Apache Synapse项目无关(或很少)。
Imran Saeed 2013年

Answers:


11

所有IP是否都在特定范围内?该范围是否分配给特定公司?如果是这样,只需查找范围的分配者并联系列出的技术联系人。

我最有可能想到的是,它们正在抓取您网页上的内容,或者正在编写一些会抓取内容的内容(这将奇怪的边界条件解释为参数)。

可能会有些无辜,我不知道您要保护哪些数据(可能有价值)。他们可能试图暴露一个错误页面,该页面可能会转储敏感的调试信息。如果是这种情况,那么我建议设置一个Web应用程序防火墙。这样做是为了防止此类敏感的错误消息和其他滥用情况发生。

您可以尝试禁止IP范围,看看谁在抱怨……尽管那是您的最后选择。


所有站点错误都带有一个漂亮的“站点错误”页面。如果他们只是在抓我们,我不在乎,这是当前用户每次生成未处理的异常时,都会将其记录到电子邮件中。我每天从这个家伙那里得到100+。当然,简单的解决方案是处理更多的错误,但是当我查看此引擎时,它看起来像是一团糟,所以我很担心。
Aren B

25

我很确定这不是 Apache Synapse,它是使用Ararat Synapse构建的一些工具,该工具是Delphi TCP / IP库。我从两个项目都下载了源代码,据我所知,Apache Synapse有一个可配置的用户代理,默认为:

在此处输入图片说明

另一方面,Ararat Synapse具有此默认用户代理:

在此处输入图片说明

就像您的日志中有一个一样,并且我使用完全相同的用户代理来进行各种SQL注入攻击。攻击者可能正在使用Delphi中带有Ararat Synapse库的一些工具。

由于坏人没有更改默认的用户代理,因此我认为将其阻止是安全的:

Mozilla/4.0 (compatible; Synapse)

部分原因是因为您可以阻止在Apache Synapse上运行的某些合法工具,并且我相信任何合法的bot或项目都将定义用户代理,并且不会默认隐藏。

阻止IP是毫无意义的,因为攻击似乎来自世界各地的各种IP地址,可能是某些僵尸网络。


“任何合法的漫游器或项目都会定义用户代理,并且不会默认隐藏。” 保留默认的用户代理字符串是没有缺陷的!对于一个未知的用户代理,我会更加怀疑,但是您不可能一一知道​​。您的解决方案(安全地阻止用户代理)纯属不良做法,就像禁止动态IP一样。机器人使用最知名或完全未知的代理。这绝对不是。
Darkendorf

6

试图将-1注入viewstate的同一个人:

finder-query: -1'

它可能是自动化的SQL注入测试器工具。


我什至会说,注入-1'(撇号很重要)
Billy

5

我最近看到这个User-Agent来自一个IP:

217.35.nn.nn--[21 / Feb / 2012:07:01:22 +0000]“ GET /view/pubcal.php?event=17'HTTP / 1.0” 200 405“-”“ Mozilla / 4.0(兼容; Synapse)”
217.35.nn.nn--[21 / Feb / 2012:08:06:31 +0000]“ GET /view/pubcal.php?event=16'HTTP / 1.0” 200 405“-”“ Mozilla / 4.0(兼容; Synapse)”

不久之后便出现了绝对是恶意用户代理(Havij):

217.35.nn.nn--[21 / Feb / 2012:10:44:26 +0000]“ GET /view/pubcal.php?event=1 HTTP / 1.1” 200 6627“-”“ Mozilla / 4.0(兼容; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)Havij“
217.35.nn.nn--[21 / Feb / 2012:10:44:26 +0000]“ GET /view/pubcal.php?event=999999.9 HTTP / 1.1” 200 2235“-”“ Mozilla / 4.0(兼容; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)Havij“

随后进行了几次SQL注入尝试。

Synapse本身并不是恶意软件,但它似乎确实已被用来探测数据驱动的网站。如果您的网站没有向任何人提供API,那么我将阻止此用户代理。也许使用fail2ban中的apache-badbots过滤器来阻止来自尝试使用此代理字符串的IP地址的流量。并在其中停留“ Havij”。


3

我已经检查了我的数据库,其中包含由我们的安全应用程序收集的超过7500万个请求,但仅发现该用户代理没有任何引荐来源网址。

此外,我可以看到它们在不到一分钟的时间内到达了各个子域,普通的访问者无法如此快速地导航。

我只计算了对该用户代理的23个请求,因此我阻止了这些人。这里是我站点的IP地址:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
它可能正在使用僵尸网络。我认为禁止这些IP不会对任何人有很大帮助。
Aren B

2
除了所有地址都是动态IP之外,您最终阻止了付费客户……
ZaB 2012年

1

搜索此用户代理后,我来到了这里。不同的IP(91.127.90.220)但采用相同的方法-表单中的每个字段依次由-1 [quote]代替。

这是我见过的唯一一次使用,所以我同意禁止它是前进的道路。


就其价值而言,“ Apache Synapse”并不适合这种行为。使用的工具具有类似的代理字符串。我建议您阅读其他答案以获取更多信息。
Aren B
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.