O que é o Apache Synapse?

Meu site continua sendo atingido por solicitações ímpares com a seguinte sequência de agente de usuário:

Mozilla/4.0 (compatible; Synapse)

Usando nossa ferramenta amigável do Google, eu pude determinar que esse é o cartão de visita do nosso amigável Apache Synapse . Um 'ESB Leve (Enterprise Service Bus)'.

Agora, com base nessas informações que pude reunir, ainda não tenho idéia para que serve essa ferramenta. Tudo o que posso dizer é que isso tem algo a ver com serviços da Web e suporta uma variedade de protocolos. A página de informações só me leva a concluir que tem algo a ver com proxies e serviços da web.

O problema que encontrei é que, embora normalmente não me importe, somos atingidos um pouco pelos IPs russos (não que os russos sejam ruins, mas nosso site é bastante específico da região), e quando eles fazem isso ' reenviar valores estranhos (não xss / maliciosos, pelo menos ainda não) para nossos parâmetros de string de consulta.

Coisas como &PageNum=-1ou &Brand=25/5/2010 9:04:52 PM.

Antes de prosseguir e bloquear esses ips / useragent em nosso site, gostaria de alguma ajuda para entender exatamente o que está acontecendo.

Qualquer ajuda seria muito apreciada :)

Todos os IPs estão em um intervalo específico? Esse intervalo é atribuído a uma empresa específica? Se for, basta pesquisar a quem o intervalo está atribuído e entrar em contato com o Contato técnico listado.

A coisa mais provável em que consigo pensar é que eles estão raspando o conteúdo da sua página da Web ou programando algo que raspa o conteúdo (o que explica as estranhas condições de contorno como argumentos).

Pode ser algo um pouco menos inocente, não sei quais dados você está tentando proteger (pode valer alguma coisa). Eles podem estar tentando expor uma página de erro que pode despejar informações de depuração confidenciais. Se for esse o caso, sugiro configurar um firewall de aplicativo da web. Eles são feitos para impedir que esse tipo de mensagens de erro confidenciais e outros abusos aconteçam.

Você pode tentar banir os intervalos de IP e ver quem reclama ... embora esse seja seu último recurso.

Tenho certeza de que este não é o Apache Synapse, são algumas ferramentas criadas com o Ararat Synapse , que é uma biblioteca Delphi TCP / IP. Eu baixei o código fonte dos dois projetos e, até onde posso ver, o Apache Synapse possui um user agent configurável e o padrão é:

Por outro lado, o Ararat Synapse possui este agente de usuário padrão:

É igual ao que você tem em seus logs, e eu tenho exatamente o mesmo agente de usuário investigando vários ataques de injeção de SQL. Provavelmente os atacantes estão usando algumas ferramentas construídas no Delphi com a biblioteca Ararat Synapse.

Como os bandidos não mudaram o user agent padrão, acho seguro bloquear este:

Mozilla/4.0 (compatible; Synapse)

não parcialmente porque você pode bloquear algumas ferramentas legítimas em execução no Apache Synapse, e acredito que qualquer bot ou projeto legítimo definiria um user agent e não se ocultaria por padrão.

Não faz sentido bloquear IPs porque parece que o ataque vem de vários endereços IP em todo o mundo, provavelmente algumas redes bot.

A mesma pessoa que tenta injetar -1 no viewstate:

finder-query: -1'

Provavelmente é uma ferramenta automatizada de testador de injeção de SQL.

Vi recentemente esse User-Agent vindo de um IP:

217.35.nn.nn - - [21 / fev / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatível ; Sinapse)"
217.35.nn.nn - - [21 / fev / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatível ; Sinapse)"

Logo foi seguido por um agente de usuário definitivamente malicioso (Havij):

217.35.nn.nn - - [21 / fev / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / fev / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Isto foi seguido por várias tentativas de injeção de SQL.

O Synapse não é malicioso por si só, mas parece estar sendo usado para investigar sites controlados por dados. Se o seu site não oferecer uma API a ninguém, eu bloquearia este agente do usuário. Talvez use o filtro apache-badbots no fail2ban para bloquear o tráfego de endereços IP que tentam usar essa cadeia de agentes. E cole 'Havij' lá também, enquanto você estiver nisso.

Eu verifiquei meu banco de dados com mais de 75 milhões de solicitações reunidas pelo nosso aplicativo de segurança e só encontrei esse agente de usuário sem nenhum URL de referência.

Além disso, vejo que eles atingem vários subdomínios em menos de um minuto e um visitante normal não consegue navegar tão rapidamente.

Eu conto apenas 23 solicitações para esse agente de usuário, por isso bloqueei os caras. Aqui os endereços IP dos meus sites:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Eu vim aqui depois de procurar esse agente de usuário. Um IP diferente (91.127.90.220), mas com a mesma abordagem - todos os campos de um formulário são substituídos por -1 [aspas].

É a única vez que o vejo sendo usado, então concordo que bani-lo é o caminho a seguir.