Похожие вопросы

Попытка запустить apache2 в режиме отладки запускает службу apache2 автоматически
Карта папке "сайты" в http://localhost на ОС Х
Не удается получить доступ к localhost через прокси-сервер Squid
Как создать псевдоним в Apache 2, который указывает на сетевой ресурс?
Gitlab на CentOS 7 с Apache вместо Nginx дает сообщение " 503 Service Unavailable
Не удалось найти указанный модуль (Mod h264 streaming) (Apache2)?
как перезапустить wampserver 2.0 (работает на anaska)
Wampserver не запускается после добавления строки в httpd.conf
Apache 2.2 на Windows как сервис, как удалить ошибку.журнал? (сохранение ошибок)
Apache не авторизован для чтения монтирования NFS
Почему apache не переходит по моим символическим ссылкам?
CentOS 5, не может принять htaccess
Аутентификация Owncloud WebDAV возможна через веб-интерфейс, но не через настольный клиент
Минимальный Apache модули, необходимые для статического сайта и не authN
как перенаправить url с порта через htaccess

Что такое Apache Synapse?

мой сайт продолжает получать нечетные запросы со следующей строкой User-agent:

Mozilla/4.0 (compatible; Synapse)

через наш удобный инструмент Google я смог определить, что это визитная карточка нашего дружественного района Apache Synapse. Облегченную ЭСБ (сервисная шина предприятия)'.

теперь, основываясь на этой информации, которую я смог собрать, я до сих пор понятия не имею, для чего используется этот инструмент. Все, что я могу сказать, это то, что что-то связанное с Web-сервисами и поддерживающее множество протоколов. Информационная страница только приводит меня к выводу, что она имеет какое-то отношение к прокси-серверам и веб-сервисам.

проблема, с которой я столкнулся, заключается в том, что, хотя обычно мне все равно, нас немного ударяют российские IP-адреса (не то, что русские плохие, но наш сайт довольно специфичен для региона), и когда они это делают, они толкают странные (не XSS/malicious, по крайней мере, еще нет) значения в нашу строку запроса параметры.

такие вещи, как &PageNum=-1 или &Brand=25/5/2010 9:04:52 PM.

прежде чем я продолжу и заблокирую эти ips/useragent с нашего сайта, мне нужна помощь, чтобы понять, что происходит.

любая помощь будет принята с благодарностью:)

5
задан Tom Wijsman
источник

6 ответов

все IP-адреса из определенного диапазона? Этот диапазон назначен конкретной компании? Если это так, просто найдите, кому назначен диапазон, и свяжитесь с перечисленным техническим контактом.

скорее всего, я могу думать о том, что они соскабливают контент с вашей веб-страницы или программируют что-то, что будет соскабливать контент (что объясняет странные граничные условия в качестве аргументов).

Это может быть что-нибудь менее невинное, я не знаю, какие данные вы пытаетесь защитить (это может чего-то стоить). Возможно, они пытаются открыть страницу ошибки, которая может вывести сенсационную отладочную информацию. Если это так, то я бы предложил настроить брандмауэр веб-приложения. Они сделаны для предотвращения такого рода чувствительных сообщений об ошибках и других злоупотреблений.

вы можете просто попробовать запретить диапазоны IP-адресов и посмотреть, кто жалуется... хотя это твое последнее средство.

11
отвечен Daisetsu 2010-05-27 22:56:56
источник

Я вполне уверен, что это не Apache Synapse, это некоторые инструменты, построенные с Арарат Синапс, который является Delphi библиотека TCP/IP. Я загрузил исходный код из обоих проектов, и, насколько я вижу, Apache Synapse имеет настраиваемый user-agent, и по умолчанию:

enter image description here

С другой стороны, Ararat Synapse имеет агент пользователя по умолчанию:

enter image description here

Это как у вас в журналах, и у меня точно такая же агента пользователя зондирования с различных атак путем внедрения кода SQL. Вероятно, злоумышленники используют некоторые инструменты, построенные в Delphi с библиотекой Арарат Синапс.

Mozilla/4.0 (compatible; Synapse)

Не частично, потому что вы можете заблокировать некоторые законные инструменты, работающие на Apache Synapse, и я считаю, что любой законный бот или проект будет определите User-agent и не скрывайте с default.

нет смысла блокировать IP-адреса, потому что кажется, что атака идет с разных IP-адресов по всему миру, возможно, некоторые ботнеты.

25
отвечен Antonio Bakula 2018-04-04 08:54:34
источник

тот же человек, который пытается ввести -1 в состояние просмотра:

finder-query: -1'

Это, вероятно, инструмент автоматического тестирования SQL-инъекций.

6
отвечен silent 2012-03-09 12:02:30
источник

Я недавно видел этот User-Agent, поступающий с одного IP:

217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"
217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (compatible; Synapse)"

за ним довольно скоро последовал наверняка агент злонамеренного пользователя (Havij):

217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij"

за этим последовало несколько попыток внедрения SQL.

Synapse сам по себе не является вредоносным, но, похоже, используется для проверки веб-сайтов, управляемых данными. Если ваш сайт никому не предлагает API, я бы заблокировал этого агента пользователя. Может быть, использовать apache-badbots фильтр в fail2ban блокировать трафик с IP-адресов, которые пытаются использовать эту строку агента. И засунь Havij там тоже, а вы на него.

5
отвечен Adam Thompson 2012-03-09 12:02:10
источник

Я проверил базу данных с более чем 75 миллионов запросов собрались в безопасности и только обнаружили, что агент пользователей без реферера.

кроме того, я вижу, что они попадают в различные поддомены менее чем за минуту, и нормальный посетитель не может перемещаться так быстро.

Я насчитал только 23 запроса для этого агента пользователя, поэтому я заблокировал парней. Вот IP адреса с моих сайтов:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94
3
отвечен slhck 2012-03-09 12:02:57
источник

Я пришел сюда после поиска этого агента пользователя. Другой IP (91.127.90.220), но тот же подход - каждое поле из формы заменяется по очереди на -1[quote].

Это единственный раз, когда я когда-либо видел его использовать, так что я согласен, что запрет это путь вперед.

1
отвечен Nick 2013-09-12 18:52:00
источник

Другие вопросы apache-http-server user-agent