¿Qué es la sinapsis de Apache?

Mi sitio web sigue recibiendo solicitudes extrañas con la siguiente cadena de agente de usuario:

Mozilla/4.0 (compatible; Synapse)

Utilizando nuestra herramienta amigable Google pude determinar que esta es la tarjeta de presentación distintiva de nuestro amigable vecindario Apache Synapse . Un 'Lightweight ESB (Enterprise Service Bus)'.

Ahora, en base a esta información que pude recopilar, todavía no tengo idea de para qué se utiliza esta herramienta. Todo lo que puedo decir es que tiene algo que ver con los servicios web y admite una variedad de protocolos. La página de información solo me lleva a concluir que tiene algo que ver con proxies y servicios web.

El problema con el que me he encontrado es que, aunque normalmente no me importaría, los IP rusos nos golpean bastante (no es que los rusos sean malos, pero nuestro sitio es bastante específico a nivel regional), y cuando lo hacen ' reescribiendo valores extraños (no xss / maliciosos al menos todavía) en nuestros parámetros de cadena de consulta.

Cosas como &PageNum=-1o &Brand=25/5/2010 9:04:52 PM.

Antes de seguir adelante y bloquear estos ips / useragent de nuestro sitio, me gustaría recibir ayuda para comprender exactamente lo que está sucediendo.

Cualquier ayuda sería muy apreciada :)

¿Son todas las IP de un rango específico? ¿Se asigna ese rango a una empresa específica? Si es así, simplemente busque a quién se le asigna el rango y comuníquese con el Contacto técnico que figura en la lista.

Lo más probable que se me ocurre es que están eliminando contenido de su página web o programando algo que eliminará contenido (lo que explica las extrañas condiciones de contorno como argumentos).

Podría ser algo un poco menos inocente, no sé qué datos está tratando de proteger (podría valer algo). Podrían estar tratando de exponer una página de error que puede volcar información de depuración sensible. Si ese es el caso, sugeriría configurar un firewall de aplicación web. Están hechos para evitar este tipo de mensajes de error sensibles y otros abusos.

Podrías intentar prohibir los rangos de IP y ver quién se queja ... aunque ese es tu último recurso.

Estoy bastante seguro de que esto no es Apache Synapse, son algunas herramientas creadas con Ararat Synapse , que es una biblioteca Delphi TCP / IP. Descargué el código fuente de ambos proyectos, y hasta donde puedo ver, Apache Synapse tiene un agente de usuario configurable, y el valor predeterminado es:

Por otro lado, Ararat Synapse tiene este agente de usuario predeterminado:

Es igual que el que tiene en sus registros, y tengo exactamente el mismo agente de usuario sondeando con varios ataques de inyección SQL. Probablemente los atacantes están usando algunas herramientas construidas en Delphi con la biblioteca Ararat Synapse.

Como los malos no cambiaron el agente de usuario predeterminado, creo que es seguro bloquear este:

Mozilla/4.0 (compatible; Synapse)

no en parte porque puede bloquear algunas herramientas legítimas que se ejecutan en Apache Synapse, y creo que cualquier bot o proyecto legítimo definiría un agente de usuario y no se ocultaría con el valor predeterminado.

No tiene sentido bloquear las IP porque parece que el ataque proviene de varias direcciones IP de todo el mundo, probablemente algunas botnets.

La misma persona que intenta inyectar -1 en el estado de vista:

finder-query: -1'

Probablemente sea una herramienta de prueba de inyección SQL automatizada.

Recientemente he visto este User-Agent proveniente de una IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Sinapsis) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Sinapsis) "

Poco después, un agente de usuario definitivamente malicioso (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Esto fue seguido por varios intentos de inyección SQL.

Synapse no es malicioso en sí mismo, pero parece estar siendo utilizado para explorar sitios web basados ​​en datos. Si su sitio web no ofrece una API a nadie, bloquearía este Agente de usuario. Tal vez use el filtro apache-badbots en fail2ban para bloquear el tráfico de las direcciones IP que intentan usar esta cadena de agente. Y pegue 'Havij' allí también, mientras lo hace.

Revisé mi base de datos con más de 75 millones de solicitudes recopiladas por nuestra aplicación de seguridad y solo encontré ese agente de usuario sin ninguna URL de referencia.

Además, puedo ver que llegan a varios subdominios en menos de un minuto y que un visitante normal no puede navegar tan rápido.

Cuento solo 23 solicitudes para ese agente de usuario, así que he bloqueado a los chicos. Aquí las direcciones IP de mis sitios:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

Vine aquí después de buscar este agente de usuario. Una IP diferente (91.127.90.220) pero el mismo enfoque: cada campo de un formulario reemplazado a su vez por -1 [cita].

Es la única vez que lo he visto usado, así que estoy de acuerdo en que prohibirlo es el camino a seguir.