¿Qué es la sinapsis de Apache?


39

Mi sitio web sigue recibiendo solicitudes extrañas con la siguiente cadena de agente de usuario:

Mozilla/4.0 (compatible; Synapse)

Utilizando nuestra herramienta amigable Google pude determinar que esta es la tarjeta de presentación distintiva de nuestro amigable vecindario Apache Synapse . Un 'Lightweight ESB (Enterprise Service Bus)'.

Ahora, en base a esta información que pude recopilar, todavía no tengo idea de para qué se utiliza esta herramienta. Todo lo que puedo decir es que tiene algo que ver con los servicios web y admite una variedad de protocolos. La página de información solo me lleva a concluir que tiene algo que ver con proxies y servicios web.

El problema con el que me he encontrado es que, aunque normalmente no me importaría, los IP rusos nos golpean bastante (no es que los rusos sean malos, pero nuestro sitio es bastante específico a nivel regional), y cuando lo hacen ' reescribiendo valores extraños (no xss / maliciosos al menos todavía) en nuestros parámetros de cadena de consulta.

Cosas como &PageNum=-1o &Brand=25/5/2010 9:04:52 PM.

Antes de seguir adelante y bloquear estos ips / useragent de nuestro sitio, me gustaría recibir ayuda para comprender exactamente lo que está sucediendo.

Cualquier ayuda sería muy apreciada :)


2
Un usuario emprendedor por aquí ( goo.gl/baHJn ) echó un vistazo a la fuente de Apache Synapse. El encabezado UA que usa no coincide con lo que muestran sus registros. Al seguir excavando por su parte, apareció Ararat Synapse, que SÍ usa ese encabezado.
Doug Wilson

Consulte las preguntas y comentarios relacionados en este otro sitio de stackexchange, security.stackexchange.com/questions/18652/…
Funka

Cada vez que busco en Google en este agente de usuario, me encuentro con esta publicación, así que pensé que debería compartir algunos de mis hallazgos en caso de que alguien lo esté buscando. btpro.net/blog/2013/05/black-revolution-botnet-trojan Esto es principalmente un ataque de botnet y no tiene nada (o muy poco) que ver con el proyecto Apache Synapse.
Imran Saeed

Respuestas:


11

¿Son todas las IP de un rango específico? ¿Se asigna ese rango a una empresa específica? Si es así, simplemente busque a quién se le asigna el rango y comuníquese con el Contacto técnico que figura en la lista.

Lo más probable que se me ocurre es que están eliminando contenido de su página web o programando algo que eliminará contenido (lo que explica las extrañas condiciones de contorno como argumentos).

Podría ser algo un poco menos inocente, no sé qué datos está tratando de proteger (podría valer algo). Podrían estar tratando de exponer una página de error que puede volcar información de depuración sensible. Si ese es el caso, sugeriría configurar un firewall de aplicación web. Están hechos para evitar este tipo de mensajes de error sensibles y otros abusos.

Podrías intentar prohibir los rangos de IP y ver quién se queja ... aunque ese es tu último recurso.


Todos los errores del sitio se presentan con una pequeña y agradable página de "Error del sitio". Si solo nos están robando, no me importa, es que actualmente cada vez que un usuario genera una excepción que no se ha entregado, se registra en el correo electrónico. Recibo más de 100 al día solo de este tipo. Por supuesto, la solución simple es manejar más errores, pero este motor parecía bastante sospechoso cuando lo examiné, así que estaba preocupado.
Aren B

25

Estoy bastante seguro de que esto no es Apache Synapse, son algunas herramientas creadas con Ararat Synapse , que es una biblioteca Delphi TCP / IP. Descargué el código fuente de ambos proyectos, y hasta donde puedo ver, Apache Synapse tiene un agente de usuario configurable, y el valor predeterminado es:

ingrese la descripción de la imagen aquí

Por otro lado, Ararat Synapse tiene este agente de usuario predeterminado:

ingrese la descripción de la imagen aquí

Es igual que el que tiene en sus registros, y tengo exactamente el mismo agente de usuario sondeando con varios ataques de inyección SQL. Probablemente los atacantes están usando algunas herramientas construidas en Delphi con la biblioteca Ararat Synapse.

Como los malos no cambiaron el agente de usuario predeterminado, creo que es seguro bloquear este:

Mozilla/4.0 (compatible; Synapse)

no en parte porque puede bloquear algunas herramientas legítimas que se ejecutan en Apache Synapse, y creo que cualquier bot o proyecto legítimo definiría un agente de usuario y no se ocultaría con el valor predeterminado.

No tiene sentido bloquear las IP porque parece que el ataque proviene de varias direcciones IP de todo el mundo, probablemente algunas botnets.


"cualquier bot o proyecto legítimo definiría el agente de usuario y no se ocultaría con el predeterminado". ¡No hay fallas en dejar la cadena de agente de usuario predeterminada tal como está! Sería mucho más sospechoso con un agente de usuario desconocido, pero no se puede conocer a todos. Su solución (seguro para bloquear el agente de usuario) es pura mala práctica al igual que prohibir las IP dinámicas. Los bots usan los agentes más conocidos o completamente desconocidos. Este definitivamente no lo es.
Darkendorf

6

La misma persona que intenta inyectar -1 en el estado de vista:

finder-query: -1'

Probablemente sea una herramienta de prueba de inyección SQL automatizada.


Incluso diría, inyecta -1 '(el apóstrofe es importante)
billy

5

Recientemente he visto este User-Agent proveniente de una IP:

217.35.nn.nn - - [21 / Feb / 2012: 07: 01: 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Sinapsis) "
217.35.nn.nn - - [21 / Feb / 2012: 08: 06: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0 (compatible ; Sinapsis) "

Poco después, un agente de usuario definitivamente malicioso (Havij):

217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn - - [21 / Feb / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

Esto fue seguido por varios intentos de inyección SQL.

Synapse no es malicioso en sí mismo, pero parece estar siendo utilizado para explorar sitios web basados ​​en datos. Si su sitio web no ofrece una API a nadie, bloquearía este Agente de usuario. Tal vez use el filtro apache-badbots en fail2ban para bloquear el tráfico de las direcciones IP que intentan usar esta cadena de agente. Y pegue 'Havij' allí también, mientras lo hace.


3

Revisé mi base de datos con más de 75 millones de solicitudes recopiladas por nuestra aplicación de seguridad y solo encontré ese agente de usuario sin ninguna URL de referencia.

Además, puedo ver que llegan a varios subdominios en menos de un minuto y que un visitante normal no puede navegar tan rápido.

Cuento solo 23 solicitudes para ese agente de usuario, así que he bloqueado a los chicos. Aquí las direcciones IP de mis sitios:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
Probablemente esté usando una botnet. No creo que prohibir esas IP ayudaría mucho a nadie.
Aren B

2
Excepto que todas las direcciones IP dinámicas son y que están bloqueando los clientes que pagan con el tiempo ...
Zab

1

Vine aquí después de buscar este agente de usuario. Una IP diferente (91.127.90.220) pero el mismo enfoque: cada campo de un formulario reemplazado a su vez por -1 [cita].

Es la única vez que lo he visto usado, así que estoy de acuerdo en que prohibirlo es el camino a seguir.


Por lo que vale, 'Apache Synapse' no hace este comportamiento. La herramienta que se utiliza tiene una cadena de agente similar. Le sugiero que lea las otras respuestas para obtener más información.
Aren B
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.