Mon site Web ne cesse de recevoir des requêtes impaires avec la chaîne d'agent utilisateur suivante:
Mozilla/4.0 (compatible; Synapse)
En utilisant notre outil convivial Google, j'ai pu déterminer qu'il s'agissait de la carte de visite caractéristique de notre sympathique quartier Apache Synapse . Un «ESB (Enterprise Service Bus) léger».
Maintenant, sur la base de ces informations que j'ai pu recueillir, je n'ai toujours aucune idée de l'utilisation de cet outil. Tout ce que je peux dire, c'est que cela a quelque chose à voir avec les services Web et prend en charge une variété de protocoles. La page Info m'amène seulement à conclure qu'elle a quelque chose à voir avec les procurations et les services Web.
Le problème que j'ai rencontré est que bien que normalement cela ne me dérange pas, les IP russes nous frappent un peu (les Russes ne sont pas méchants, mais notre site est assez spécifique à la région), et quand ils le font ' Transformez les valeurs wierd (pas xss / malveillant du moins pas encore) dans nos paramètres de chaîne de requête.
Des choses comme &PageNum=-1
ou &Brand=25/5/2010 9:04:52 PM
.
Avant de bloquer ces ips / useragent de notre site, j'aimerais avoir de l’aide pour comprendre ce qui se passe.
Toute aide serait grandement appréciée :)
Réponses:
Toutes les adresses IP appartiennent-elles à une plage spécifique? Cette plage est-elle assignée à une entreprise spécifique? Si tel est le cas, il vous suffit de rechercher à qui la plage est attribuée et de contacter le contact technique indiqué.
La chose la plus probable à laquelle je peux penser, c'est qu'ils extraient du contenu de votre page Web ou programment quelque chose qui va gratter du contenu (ce qui explique les conditions aux limites étranges comme arguments).
Cela pourrait être quelque chose d'un peu moins innocent, je ne sais pas quelles données vous essayez de protéger (cela pourrait valoir quelque chose). Ils pourraient essayer d'exposer une page d'erreur qui peut vider des informations de débogage sensibles. Si tel est le cas, je vous conseillerais de configurer un pare-feu pour applications Web. Ils sont conçus pour empêcher ce type de messages d'erreur sensibles et autres abus de se produire.
Vous pouvez simplement essayer d'interdire les plages d'adresses IP et voir qui se plaint ... bien que ce soit votre dernier recours.
la source
Je suis à peu près sûr que ce n'est pas Apache Synapse, mais des outils construits avec Ararat Synapse , une bibliothèque Delphi TCP / IP. J'ai téléchargé le code source des deux projets et, autant que je sache, Apache Synapse dispose d'un agent utilisateur configurable. La valeur par défaut est:
Par ailleurs, Ararat Synapse a cet agent utilisateur par défaut:
C'est comme celui que vous avez dans vos journaux et j'ai exactement le même agent utilisateur qui teste différentes attaques d'injection SQL. Les attaquants utilisent probablement des outils construits en Delphi avec la bibliothèque Ararat Synapse.
Puisque les méchants n'ont pas changé l'agent utilisateur par défaut, je pense qu'il est prudent de bloquer celui-ci:
pas en partie parce que vous pouvez bloquer certains outils légitimes exécutés sur Apache Synapse, et je crois que tout bot ou projet légitime définirait un agent utilisateur et ne serait pas masqué par défaut.
Il ne sert à rien de bloquer les IP car il semble que l'attaque provienne de différentes adresses IP dans le monde, probablement de réseaux de zombies.
la source
Même personne essayant d'injecter -1 dans le viewstate:
C'est probablement un outil de test d'injection SQL automatisé.
la source
J'ai récemment vu cet utilisateur-agent venant d'une adresse IP:
Il a été suivi peu de temps après par un agent utilisateur définitivement malveillant (Havij):
Cela a été suivi de plusieurs tentatives d’injection SQL.
Synapse n'est pas malveillant en soi, mais il semble être utilisé pour sonder des sites Web gérés par les données. Si votre site Web n'offre une API à personne, je bloquerais cet agent d'utilisateur. Peut-être utilisez-vous le filtre apache-badbots dans fail2ban pour bloquer le trafic provenant d'adresses IP essayant d'utiliser cette chaîne d'agent. Et collez «Havij» là aussi, pendant que vous y êtes.
la source
J'ai vérifié ma base de données avec plus de 75 millions de requêtes recueillies par notre application de sécurité et n'ai trouvé que cet agent utilisateur sans aucune URL de référence.
En outre, je peux voir qu'ils atteignent divers sous-domaines en moins d'une minute et qu'un visiteur normal ne peut pas naviguer aussi rapidement.
Je ne compte que 23 demandes pour cet utilisateur, j'ai donc bloqué les gars. Voici les adresses IP de mes sites:
la source
Je suis venu ici après avoir recherché cet agent d'utilisateur. Une adresse IP différente (91.127.90.220) mais la même approche: tous les champs d’un formulaire sont remplacés par -1 [quote].
C’est la seule fois où je l’ai jamais vue utilisée, je suis donc d’accord pour dire que l’interdiction est la voie à suivre.
la source