Что такое Apache Synapse?

Я вполне уверен, что это не Apache Synapse, это некоторые инструменты, построенные с Арарат Синапс, который является Delphi библиотека TCP/IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый user-agent, и по умолчанию:

С другой стороны, Ararat Synapse имеет агент пользователя по умолчанию:

Это как у вас в журналах, и у меня точно такая же агента пользователя зондирования с различных атак путем внедрения кода SQL. Вероятно, злоумышленники используют некоторые инструменты, построенные в Delphi с библиотекой Арарат Синапс.

Mozilla/4.0 (compatible; Synapse)

Не частично, потому что вы можете заблокировать некоторые законные инструменты, работающие на Apache Synapse, и я считаю, что любой законный бот или проект будет определите User-agent и не скрывайте с default.

нет смысла блокировать IP-адреса, потому что кажется, что атака идет с разных IP-адресов по всему миру, возможно, некоторые ботнеты.

тот же человек, который пытается ввести -1 в состояние просмотра:

finder-query: -1'

Это, вероятно, инструмент автоматического тестирования SQL-инъекций.

Я недавно видел этот User-Agent, поступающий с одного IP:

217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

за ним довольно скоро последовал наверняка агент злонамеренного пользователя (Havij):

217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

за этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, используется для проверки веб-сайтов, управляемых данными. Если ваш сайт никому не предлагает API, я бы заблокировал этого агента пользователя. Может быть, использовать apache-badbots фильтр в fail2ban блокировать трафик с IP-адресов, которые пытаются использовать эту строку агента. И засунь Havij там тоже, а вы на него.

Я проверил базу данных с более чем 75 миллионов запросов собрались в безопасности и только обнаружили, что агент пользователей без реферера.

кроме того, я вижу, что они попадают в различные поддомены менее чем за минуту, и нормальный посетитель не может перемещаться так быстро.

Я насчитал только 23 запроса для этого агента пользователя, поэтому я заблокировал парней. Вот IP адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94