Was ist Apache Synapse?

Question

Was ist Apache Synapse?

16963

Aren B 2010-05-27 в 22:31

Meine Website wird immer wieder von ungeraden Anfragen mit der folgenden Benutzer-Agent-Zeichenfolge betroffen:

Mozilla/4.0 (compatible; Synapse)

Mit unserem freundlichen Tool Google konnte ich feststellen, dass dies die Visitenkarte unserer freundlichen Nachbarschaft Apache Synapse ist . Ein "leichter ESB (Enterprise Service Bus)".

Aufgrund dieser Informationen, die ich sammeln konnte, habe ich immer noch keine Ahnung, wofür dieses Werkzeug verwendet wird. Ich kann nur sagen, dass es etwas mit Web-Services zu tun hat und eine Vielzahl von Protokollen unterstützt. Die Info-Seite lässt mich nur zu dem Schluss kommen, dass es etwas mit Proxies und Web-Services zu tun hat.

Das Problem, auf das ich gestoßen bin, ist, dass es mir normalerweise egal ist, aber wir werden ziemlich stark von russischen IPs getroffen (nicht die russischen sind schlecht, aber unsere Website ist ziemlich regional spezifisch), und wenn, dann tun sie das. wierd-Werte (nicht xss / böswillig, zumindest noch nicht) in unsere Abfragezeichenfolge-Parameter einfügen.

Dinge wie &PageNum=-1oder &Brand=25/5/2010 9:04:52 PM.

Bevor ich fortfahre und diese ips / useragent von unserer Website blockiere, möchte ich etwas Hilfe darüber, was los ist.

Jede Hilfe wäre sehr dankbar :)

38

An enterprising user over here (http://goo.gl/baHJn) took a look at the source for Apache Synapse. The UA header it uses doesn't match what your logs show. Further digging on his part turned up Ararat Synapse which DOES use that header. Doug Wilson vor 11 Jahren 2

Siehe dazugehörige Fragen und Kommentare zu dieser anderen Stackexchange-Website unter http://security.stackexchange.com/questions/18652/is-this-a-viewstate-attack Funka vor 11 Jahren 0

Immer wenn ich auf diesen User-Agent google, stoße ich auf diesen Beitrag. Ich dachte, ich sollte einige meiner Erkenntnisse teilen, falls jemand danach sucht. http://www.btpro.net/blog/2013/05/black-revolution-botnet-trojan/ Dies ist meistens ein Botnet-Angriff und hat nichts (oder sehr wenig) mit Apache Synapse zu tun. Imran Saeed vor 10 Jahren 0

6 Antworten auf die Frage

25

11

Daisetsu 2010-05-27 в 22:56

Are all the IPs from a specific range? Is that range assigned to a specific company? If it is, just lookup who the range is assigned to and contact the Technical Contact listed.

The most likely thing I can think of is that they are scraping content from your webpage or programming something which will scrape content (which explains the weird boundary conditions as arguments).

It could be something a little less innocent, I don't know what data you are trying to protect (it could be worth something). They could be trying to expose an error page which can dump sensative debug info. If that is the case then I would suggest setting up a web app firewall. They are made to prevent this kind of sensitive error messages and other abuses from happening.

You could just try banning the IP ranges and see who complains... although that's your last resort.

Alle Site-Fehler werden mit einer kleinen "Site Error" -Seite angezeigt. Wenn es uns nur darum geht, uns zu kratzen, ist es mir egal, dass es immer dann, wenn ein Benutzer eine Ausnahme generiert, die nicht behandelt wird, in E-Mail protokolliert wird. Ich bekomme täglich 100+ von diesem Kerl alleine. Natürlich ist die einfache Lösung, mit mehr Fehlern umzugehen, aber diese Engine schien ziemlich faul zu sein, wenn ich sie mir ansah, also war ich besorgt. Aren B vor 13 Jahren 0

6

silent 2010-11-13 в 05:26

Dieselbe Person, die versucht, -1 in den Viewstate zu injizieren:

finder-query: -1'

Es ist wahrscheinlich ein automatisiertes Tool für SQL-Injektionstester.

Ich würde sogar sagen, injizieren Sie -1 '(Apostroph ist wichtig) billy vor 11 Jahren 0

5

Adam Thompson 2012-03-09 в 11:54

Ich habe kürzlich gesehen, dass dieser User-Agent von einer IP stammt:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatibel ; Synapse) " 217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (kompatibel ; Synapse) "

Es folgte ziemlich kurz ein definitiv böswilliger Benutzeragent (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij " 217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Es folgten mehrere Versuche der SQL-Injection.

Synapse ist an und für sich nicht bösartig, aber es scheint, als würde man nach datengesteuerten Websites suchen. Wenn Ihre Website niemandem eine API bietet, würde ich diesen User Agent blockieren. Verwenden Sie den Filter apache-badbots in fail2ban, um den Verkehr von IP-Adressen zu blockieren, die versuchen, diese Agentenzeichenfolge zu verwenden. Und steck 'Havij' auch rein, wenn du schon dabei bist.

3

slhck 2010-10-29 в 22:14

Ich habe meine Datenbank mit über 75 Millionen von unserer Sicherheitsanwendung gesammelten Anfragen überprüft und nur diesen Benutzeragenten ohne Referrer-URL gefunden.

Ich kann auch sehen, dass sie innerhalb weniger als einer Minute verschiedene Subdomains treffen und ein normaler Besucher nicht so schnell navigieren kann.

Ich zähle nur 23 Anfragen für diesen Benutzeragenten, also habe ich die Jungs geblockt. Hier die IP-Adressen von meinen Sites:

189.250.204.153 190.31.58.52 113.23.76.219 94.142.131.77 190.86.161.245 186.2.144.165 189.170.129.68 188.84.39.160 92.131.184.129 189.12.36.143 94.110.73.38 189.162.86.23 94.43.231.90 217.77.28.170 190.138.185.135 188.169.196.13 200.153.252.1 41.235.79.86 186.129.128.94

Es wird wahrscheinlich ein Botnetz verwendet. Ich glaube nicht, dass das Verbot dieser IPs jedem sehr helfen würde. Aren B vor 13 Jahren 2

Nur dass alle Adressen dynamische IP-Adressen sind und Sie eventuell zahlende Kunden blockieren ... ZaB vor 12 Jahren 2

1

Nick 2013-09-12 в 18:52

Ich bin hierher gekommen, nachdem ich nach diesem Benutzeragenten gesucht habe. Eine andere IP-Adresse (91.127.90.220), aber derselbe Ansatz - jedes Feld eines Formulars wird durch -1 ersetzt.

Es ist das einzige Mal, dass ich es jemals gesehen habe, also stimme ich zu, dass das Verbot der Weg nach vorne ist.

Apache Synapse ist dieses Verhalten nicht wert. Das verwendete Werkzeug hat eine ähnliche Agentenzeichenfolge. Ich schlage vor, dass Sie die anderen Antworten lesen, um weitere Informationen zu erhalten. Aren B vor 10 Jahren 0

Accepted Answer · 2013-10-03 22:25:09

Ich bin mir ziemlich sicher, dass dies nicht Apache Synapse ist, es sind einige Tools, die mit Ararat Synapse erstellt wurden, einer Delphi- TCP / IP-Bibliothek. Ich habe den Quellcode von beiden Projekten heruntergeladen. Soweit ich sehen kann, verfügt Apache Synapse über einen konfigurierbaren Benutzeragenten. Die Standardeinstellung lautet:

Auf der anderen Seite hat Ararat Synapse diesen Standardbenutzeragenten:

Es ist genau wie das, das Sie in Ihren Protokollen haben, und ich habe genau denselben Benutzeragenten, der verschiedene SQL-Injection-Angriffe untersucht. Wahrscheinlich verwenden die Angreifer einige in Delphi erstellte Tools mit der Ararat Synapse-Bibliothek.

Da die bösen Jungs den Standardbenutzeragenten nicht geändert haben, denke ich, dass es sicher ist, diesen zu blockieren:

Mozilla/4.0 (compatible; Synapse)

Nicht zum Teil, weil Sie einige legitime Tools blockieren können, die unter Apache Synapse ausgeführt werden, und ich bin der Meinung, dass jeder legitime Bot oder jedes Projekt einen Benutzeragenten definieren würde und sich nicht mit dem Standard verstecken würde.

Es hat keinen Sinn, IPs zu blockieren, da es den Anschein hat, dass der Angriff von verschiedenen IP-Adressen auf der ganzen Welt ausgeht, wahrscheinlich von einigen Botnetzen.

Was ist Apache Synapse?

6 Antworten auf die Frage

Verwandte Probleme