Qu'est-ce que Apache Synapse?

39

Mon site Web ne cesse de recevoir des requêtes impaires avec la chaîne d'agent utilisateur suivante:

Mozilla/4.0 (compatible; Synapse)

En utilisant notre outil convivial Google, j'ai pu déterminer qu'il s'agissait de la carte de visite caractéristique de notre sympathique quartier Apache Synapse . Un «ESB (Enterprise Service Bus) léger».

Maintenant, sur la base de ces informations que j'ai pu recueillir, je n'ai toujours aucune idée de l'utilisation de cet outil. Tout ce que je peux dire, c'est que cela a quelque chose à voir avec les services Web et prend en charge une variété de protocoles. La page Info m'amène seulement à conclure qu'elle a quelque chose à voir avec les procurations et les services Web.

Le problème que j'ai rencontré est que bien que normalement cela ne me dérange pas, les IP russes nous frappent un peu (les Russes ne sont pas méchants, mais notre site est assez spécifique à la région), et quand ils le font ' Transformez les valeurs wierd (pas xss / malveillant du moins pas encore) dans nos paramètres de chaîne de requête.

Des choses comme &PageNum=-1ou &Brand=25/5/2010 9:04:52 PM.

Avant de bloquer ces ips / useragent de notre site, j'aimerais avoir de l’aide pour comprendre ce qui se passe.

Toute aide serait grandement appréciée :)

Aren B
la source
2
Un utilisateur entreprenant ( goo.gl/baHJn ) a jeté un œil à la source d’Apache Synapse. L'en-tête UA qu'il utilise ne correspond pas à ce que montrent vos journaux. Ararat Synapse, qui utilise cet en-tête, a poursuivi ses recherches plus en profondeur.
Doug Wilson
Voir la question et les commentaires de cet autre site stackexchange, security.stackexchange.com/questions/18652/…
Funka
Chaque fois que je recherche Google sur cet agent utilisateur, je tombe sur ce message et je me suis dit que je devrais partager certaines de mes découvertes au cas où quelqu'un le chercherait. btpro.net/blog/2013/05/black-revolution-botnet-trojan C'est une attaque de botnet principalement et n'a rien (ou très peu) à faire avec le projet Apache Synapse.
Imran Saeed

Réponses:

11

Toutes les adresses IP appartiennent-elles à une plage spécifique? Cette plage est-elle assignée à une entreprise spécifique? Si tel est le cas, il vous suffit de rechercher à qui la plage est attribuée et de contacter le contact technique indiqué.

La chose la plus probable à laquelle je peux penser, c'est qu'ils extraient du contenu de votre page Web ou programment quelque chose qui va gratter du contenu (ce qui explique les conditions aux limites étranges comme arguments).

Cela pourrait être quelque chose d'un peu moins innocent, je ne sais pas quelles données vous essayez de protéger (cela pourrait valoir quelque chose). Ils pourraient essayer d'exposer une page d'erreur qui peut vider des informations de débogage sensibles. Si tel est le cas, je vous conseillerais de configurer un pare-feu pour applications Web. Ils sont conçus pour empêcher ce type de messages d'erreur sensibles et autres abus de se produire.

Vous pouvez simplement essayer d'interdire les plages d'adresses IP et voir qui se plaint ... bien que ce soit votre dernier recours.

Daisetsu
la source
Toutes les erreurs de site sont présentées avec une jolie petite page "Erreur de site". S'ils ne font que nous gratter, peu m'importe, c'est que chaque fois qu'un utilisateur génère une exception qui n'est pas gérée, il est consigné dans un courrier électronique. Je reçois 100+ par jour de ce type seul. Bien sûr, la solution simple est de gérer plus d’erreurs, mais ce moteur me semblait assez louche quand j’y ai regardé, j’étais inquiet.
Aren B
25

Je suis à peu près sûr que ce n'est pas Apache Synapse, mais des outils construits avec Ararat Synapse , une bibliothèque Delphi TCP / IP. J'ai téléchargé le code source des deux projets et, autant que je sache, Apache Synapse dispose d'un agent utilisateur configurable. La valeur par défaut est:

entrez la description de l'image ici

Par ailleurs, Ararat Synapse a cet agent utilisateur par défaut:

entrez la description de l'image ici

C'est comme celui que vous avez dans vos journaux et j'ai exactement le même agent utilisateur qui teste différentes attaques d'injection SQL. Les attaquants utilisent probablement des outils construits en Delphi avec la bibliothèque Ararat Synapse.

Puisque les méchants n'ont pas changé l'agent utilisateur par défaut, je pense qu'il est prudent de bloquer celui-ci:

Mozilla/4.0 (compatible; Synapse)

pas en partie parce que vous pouvez bloquer certains outils légitimes exécutés sur Apache Synapse, et je crois que tout bot ou projet légitime définirait un agent utilisateur et ne serait pas masqué par défaut.

Il ne sert à rien de bloquer les IP car il semble que l'attaque provienne de différentes adresses IP dans le monde, probablement de réseaux de zombies.

Antonio Bakula
la source
"n'importe quel bot ou projet légitime définirait un agent utilisateur et ne se cacherait pas par défaut." Il n'y a pas de défauts à laisser la chaîne d'agent utilisateur par défaut telle quelle !!! Je serais bien plus méfiant envers un agent utilisateur inconnu, mais vous ne pouvez pas les connaître tous. Votre solution (sans danger pour le blocage de l'agent utilisateur) est une mauvaise pratique, tout comme l'interdiction d'adresses IP dynamiques. Les robots utilisent les agents les plus connus ou complètement inconnus. Celui-ci n'est certainement pas.
Darkendorf
6

Même personne essayant d'injecter -1 dans le viewstate:

finder-query: -1'

C'est probablement un outil de test d'injection SQL automatisé.

silencieux
la source
Je dirais même, injectez -1 '(l'apostrophe est important)
billy
5

J'ai récemment vu cet utilisateur-agent venant d'une adresse IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Synapse) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Synapse) "

Il a été suivi peu de temps après par un agent utilisateur définitivement malveillant (Havij):

217.35.nn.nn - - [21 février 2012 - 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 février 2012 - 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Cela a été suivi de plusieurs tentatives d’injection SQL.

Synapse n'est pas malveillant en soi, mais il semble être utilisé pour sonder des sites Web gérés par les données. Si votre site Web n'offre une API à personne, je bloquerais cet agent d'utilisateur. Peut-être utilisez-vous le filtre apache-badbots dans fail2ban pour bloquer le trafic provenant d'adresses IP essayant d'utiliser cette chaîne d'agent. Et collez «Havij» là aussi, pendant que vous y êtes.

Adam Thompson
la source
3

J'ai vérifié ma base de données avec plus de 75 millions de requêtes recueillies par notre application de sécurité et n'ai trouvé que cet agent utilisateur sans aucune URL de référence.

En outre, je peux voir qu'ils atteignent divers sous-domaines en moins d'une minute et qu'un visiteur normal ne peut pas naviguer aussi rapidement.

Je ne compte que 23 demandes pour cet utilisateur, j'ai donc bloqué les gars. Voici les adresses IP de mes sites:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
slhck
la source
2
C'est probablement en utilisant un botnet. Je ne pense pas que l'interdiction de ces IP aiderait beaucoup de monde.
Aren B
2
Sauf que toutes les adresses sont des adresses IP dynamiques et que vous
bloquez
1

Je suis venu ici après avoir recherché cet agent d'utilisateur. Une adresse IP différente (91.127.90.220) mais la même approche: tous les champs d’un formulaire sont remplacés par -1 [quote].

C’est la seule fois où je l’ai jamais vue utilisée, je suis donc d’accord pour dire que l’interdiction est la voie à suivre.

Entaille
la source
Pour ce que ça vaut, 'Apache Synapse' n'a pas ce comportement. L'outil utilisé a une chaîne d'agent similaire. Je vous suggère de lire les autres réponses pour plus d'informations.
Aren B