it-swarm-ja.tech

Apache Synapseとは何ですか?

私のウェブサイトは、次のユーザーエージェント文字列で奇妙なリクエストに見舞われ続けています。

Mozilla/4.0 (compatible; Synapse)

私たちの友好的なツールを使用してGoogleこれは私たちの友好的な近所の特徴的な名刺 Apache Synapse であると判断できました。 「軽量ESB(エンタープライズサービスバス)」。

今、私が集めることができたこの情報に基づいて、私はまだこのツールが何のために使われるのか手がかりがありません。私が言えることは、それがWebサービスと関係があり、さまざまなプロトコルをサポートしているということです。情報ページは、プロキシとWebサービスに関係があると結論づけるだけです。

私が遭遇した問題は、通常私は気にしませんが、ロシアのIP(ロシアのIPは悪いわけではありませんが、私たちのサイトはかなり地域ごとに固有です)にかなり当たってしまうことです。奇妙な(xss/maliciousではない)値をクエリ文字列パラメーターに再入力します。

&PageNum=-1&Brand=25/5/2010 9:04:52 PMなど。

先に進み、これらのips/useragentをサイトからブロックする前に、何が起こっているのかを理解するのに役立つ情報を教えてください。

どんな助けでも大歓迎です:)

39
Aren B

すべてのIPは特定の範囲のものですか?その範囲は特定の会社に割り当てられていますか?そうである場合は、範囲が割り当てられている人を検索し、リストされている技術担当者に連絡してください。

私が考えることができる最もありそうなことは、彼らがあなたのウェブページからコンテンツをかき集めているか、またはコンテンツをかき集める何かをプログラミングしていることです(これは引数として奇妙な境界条件を説明します)。

少し無害なものである可能性があります。保護しようとしているデータがわかりません(何か価値があるかもしれません)。機密のデバッグ情報をダンプできるエラーページを公開しようとしている可能性があります。その場合は、Webアプリのファイアウォールを設定することをお勧めします。これらは、この種の機密エラーメッセージやその他の悪用が発生しないようにするために作成されています。

IP範囲を禁止してみて、誰が不平を言うかを確認することもできます...それが最後の手段です。

11
Daisetsu

これはではないことをかなり確信していますApache Synapse、それは Ararat Synapse で構築されたいくつかのツールです Delphi TCP/IPライブラリ。私は両方のプロジェクトからソースコードをダウンロードしましたが、私の知る限り、Apache Synapseには構成可能なユーザーエージェントがあり、デフォルトは次のとおりです。

enter image description here

一方、Ararat Synapseには次のデフォルトのユーザーエージェントがあります。

enter image description here

これは、ログに記録されているものとまったく同じです。私は、さまざまなSQLインジェクション攻撃でまったく同じユーザーエージェントを調査しています。おそらく、攻撃者は、DaraphiにArarat Synapseライブラリが組み込まれたいくつかのツールを使用しています。

悪者はデフォルトのユーザーエージェントを変更しなかったので、これをブロックしても安全だと思います。

Mozilla/4.0 (compatible; Synapse)

apache Synapseで実行されている一部の正当なツールをブロックできるからではありません。正当なボットやプロジェクトはユーザーエージェントを定義し、デフォルトでは非表示にならないと思います。

攻撃は世界中のさまざまなIPアドレス、おそらくいくつかのボットネットから行われているように見えるため、IPをブロックしても意味がありません。

25
Antonio Bakula

同じ人が-1をビューステートに挿入しようとしています:

Finder-query: -1'

おそらく自動化されたSQLインジェクションテスターツールです。

6
silent

最近、このユーザーエージェントが1つのIPから送信されるのを見ました。

217.35.nn.nn--[21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17 'HTTP/1.0" 200 405 "-" "Mozilla/4.0(互換; Synapse) "
 217.35.nn.nn--[21/Feb/2012:08:06:31 +0000]" GET /view/pubcal.php?event=16 'HTTP/1.0 "200 405 "-" "Mozilla/4.0(互換; Synapse)"

かなり直後にdefinitely悪意のあるユーザーエージェント(Havij)が続きました:

217.35.nn.nn--[21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0(互換; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)Havij "
 217.35.nn.nn--[21/Feb/2012:10:44:26 +0000]" GET/view/pubcal.php?event = 999999.9 HTTP/1.1 "200 2235"-"" Mozilla/4.0(compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)Havij "

その後、SQLインジェクションが何度か試行されました。

Synapse自体は悪意のあるものではありませんが、データ駆動型のWebサイトの調査に使用されているようです。ウェブサイトでAPIを提供していない場合は、このユーザーエージェントをブロックします。おそらくfail2banでApache-badbotsフィルターを使用して、このエージェント文字列を使用しようとするIPアドレスからのトラフィックをブロックします。そして、あなたがそれにいる間も、そこに「Havij」を貼り付けます。

5
Adam Thompson

私のセキュリティアプリケーションによって収集された7,500万を超えるリクエストでデータベースをチェックしたところ、リファラーURLのないユーザーエージェントだけが見つかりました。

また、1分もかからずにさまざまなサブドメインにヒットし、通常のビジターがそれほど速くナビゲートできなかったことがわかります。

私はそのユーザーエージェントの23のリクエストのみを数えるので、みんなをブロックしました。ここに私のサイトのIPアドレス:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
3
Karl

このユーザーエージェントを検索した後、ここに来ました。異なるIP(91.127.90.220)ですが同じアプローチです-フォームのすべてのフィールドが-1 [quote]に置き換えられます。

それが使用されたのを見たのはこれが唯一の時なので、私はそれを禁止することが先の道であることに同意します。

1
Nick