Похожие вопросы

Виртуальные хосты не работают или перенаправление в WAMP
Как получить доступ к серверу NodeJS по локальной сети?
Apache не запускается, нет сообщений об ошибках httpd
Apache2 виртуальные хосты не распознаются должным образом
Почему запросы localhost к виртуальному хосту Apache выполняются локально так медленно?
Настройки Apache HTTPS в Амазон WS с АСМ
Почему мои журналы Apache показывают два часовых пояса
добавлена запись в hosts файл (ubuntu); can ping ok; can nslookup
Не удается изменить файл на www-data, продолжайте получать " chown: www-data: недопустимый аргумент"
как перезапустить wampserver 2.0 (работает на anaska)
Получение SSL сертификата от Let's Encrypt в то время как ISP блокирует порт 80
Аутентификация Owncloud WebDAV возможна через веб-интерфейс, но не через настольный клиент
Не удается получить доступ к localhost через прокси-сервер Squid
Попытка запустить apache2 в режиме отладки запускает службу apache2 автоматически
Установка мода php для Apache после установки Remi repo версии PHP 5.6

Что такое Apache Synapse?

мой сайт продолжает получать нечетные запросы со следующей строкой User-agent:

Mozilla/4.0 (compatible; Synapse)

через наш удобный инструмент Google я смог определить, что это визитная карточка нашего дружественного района Apache Synapse. Облегченную ЭСБ (сервисная шина предприятия)'.

теперь, основываясь на этой информации, которую я смог собрать, я до сих пор понятия не имею, для чего используется этот инструмент. Все, что я могу сказать, это то, что что-то связанное с Web-сервисами и поддерживающее множество протоколов. Информационная страница только приводит меня к выводу, что она имеет какое-то отношение к прокси-серверам и веб-сервисам.

проблема, с которой я столкнулся, заключается в том, что, хотя обычно мне все равно, нас немного ударяют российские IP-адреса (не то, что русские плохие, но наш сайт довольно специфичен для региона), и когда они это делают, они толкают странные (не XSS/malicious, по крайней мере, еще нет) значения в нашу строку запроса параметры.

такие вещи, как &PageNum=-1 или &Brand=25/5/2010 9:04:52 PM.

прежде чем я продолжу и заблокирую эти ips/useragent с нашего сайта, мне нужна помощь, чтобы понять, что происходит.

любая помощь будет принята с благодарностью:)

5
задан Tom Wijsman
источник

6 ответов

все IP-адреса из определенного диапазона? Этот диапазон назначен конкретной компании? Если это так, просто найдите, кому назначен диапазон, и свяжитесь с перечисленным техническим контактом.

скорее всего, я могу думать о том, что они соскабливают контент с вашей веб-страницы или программируют что-то, что будет соскабливать контент (что объясняет странные граничные условия в качестве аргументов).

Это может быть что-нибудь менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Возможно, они пытаются открыть страницу ошибки, которая может вывести сенсационную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для предотвращения такого рода чувствительных сообщений об ошибках и других злоупотреблений.

вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется... хотя это твое последнее средство.

11
отвечен Daisetsu 2010-05-27 22:56:56
источник

Я вполне уверен, что это не Apache Synapse, это некоторые инструменты, построенные с Арарат Синапс, который является Delphi библиотека TCP/IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый user-agent, и по умолчанию:

enter image description here

С другой стороны, Ararat Synapse имеет агент пользователя по умолчанию:

enter image description here

Это как у вас в журналах, и у меня точно такая же агента пользователя зондирования с различных атак путем внедрения кода SQL. Вероятно, злоумышленники используют некоторые инструменты, построенные в Delphi с библиотекой Арарат Синапс.

Mozilla/4.0 (compatible; Synapse)

Не частично, потому что вы можете заблокировать некоторые законные инструменты, работающие на Apache Synapse, и я считаю, что любой законный бот или проект будет определите User-agent и не скрывайте с default.

нет смысла блокировать IP-адреса, потому что кажется, что атака идет с разных IP-адресов по всему миру, возможно, некоторые ботнеты.

25
отвечен Antonio Bakula 2018-04-04 08:54:34
источник

тот же человек, который пытается ввести -1 в состояние просмотра:

finder-query: -1'

Это, вероятно, инструмент автоматического тестирования SQL-инъекций.

6
отвечен silent 2012-03-09 12:02:30
источник

Я недавно видел этот User-Agent, поступающий с одного IP:

217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

за ним довольно скоро последовал наверняка агент злонамеренного пользователя (Havij):

217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

за этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, используется для проверки веб-сайтов, управляемых данными. Если ваш сайт никому не предлагает API, я бы заблокировал этого агента пользователя. Может быть, использовать apache-badbots фильтр в fail2ban блокировать трафик с IP-адресов, которые пытаются использовать эту строку агента. И засунь Havij там тоже, а вы на него.

5
отвечен Adam Thompson 2012-03-09 12:02:10
источник

Я проверил базу данных с более чем 75 миллионов запросов собрались в безопасности и только обнаружили, что агент пользователей без реферера.

кроме того, я вижу, что они попадают в различные поддомены менее чем за минуту, и нормальный посетитель не может перемещаться так быстро.

Я насчитал только 23 запроса для этого агента пользователя, поэтому я заблокировал парней. Вот IP адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
3
отвечен slhck 2012-03-09 12:02:57
источник

Я пришел сюда после поиска этого агента пользователя. Другой IP (91.127.90.220), но тот же подход - каждое поле из формы заменяется по очереди на -1[quote].

Это единственный раз, когда я когда-либо видел его использовать, так что я согласен, что запрет это путь вперед.

1
отвечен Nick 2013-09-12 18:52:00
источник

Другие вопросы apache-http-server user-agent