Apache Synapse क्या है?

मेरी वेबसाइट निम्नलिखित उपयोगकर्ता-एजेंट स्ट्रिंग के साथ अजीब अनुरोधों से प्रभावित हो रही है:

Mozilla/4.0 (compatible; Synapse)

हमारे अनुकूल उपकरण Google का उपयोग करके मैं यह निर्धारित करने में सक्षम था कि यह हमारे अनुकूल पड़ोस Apache Synapse का हॉलमार्क कॉलिंग-कार्ड है । एक 'लाइटवेट ईएसबी (एंटरप्राइज सर्विस बस)'।

अब, इस जानकारी के आधार पर मैं इकट्ठा करने में सक्षम था, मुझे अभी भी कोई सुराग नहीं है कि इस उपकरण का उपयोग किस लिए किया जाता है। मैं केवल इतना बता सकता हूं कि वेब-सर्विसेज के साथ कुछ करना है, और विभिन्न प्रकार के प्रोटोकॉल का समर्थन करता है। जानकारी पृष्ठ केवल मुझे यह निष्कर्ष निकालने के लिए आगे ले जाता है कि इसका प्रॉक्सी और वेब-सेवाओं के साथ कुछ करना है।

मेरे द्वारा चलाए जाने वाली समस्या यह है कि आम तौर पर मैं परवाह नहीं करता, हम रूसी आईपी द्वारा बहुत अधिक मार रहे हैं (ऐसा नहीं है कि रूसी खराब हैं, लेकिन हमारी साइट क्षेत्रीय रूप से विशिष्ट है), और जब वे करते हैं ' हमारे क्वेरी स्ट्रिंग पैरामीटर्स में wovd (xss (दुर्भावनापूर्ण रूप से कम से कम नहीं अभी तक नहीं) मानों को पुनः प्राप्त करें।

जैसी बातें &PageNum=-1या &Brand=25/5/2010 9:04:52 PM।

इससे पहले कि मैं आगे जाऊं और हमारी साइट से इन ips / useragent को ब्लॉक करूं, मुझे कुछ समझ में आना चाहिए कि अभी क्या चल रहा है।

किसी भी तरह की सहायता का स्वागत किया जाएगा :)

क्या सभी IP एक विशिष्ट श्रेणी से हैं? क्या वह सीमा किसी विशिष्ट कंपनी को सौंपी गई है? यदि यह है, तो बस यह देखने के लिए कि किस रेंज को सौंपा गया है और सूचीबद्ध तकनीकी संपर्क से संपर्क करें।

सबसे संभावित बात जो मैं सोच सकता हूं, वह यह है कि वे आपके वेबपेज से सामग्री को स्क्रैप कर रहे हैं या कुछ ऐसा प्रोग्रामिंग कर रहे हैं, जो सामग्री को बिखेर देगा (जो कि तर्क के रूप में अजीब सीमा की स्थिति की व्याख्या करता है)।

यह कुछ कम निर्दोष हो सकता है, मुझे नहीं पता कि आप किस डेटा की रक्षा करने की कोशिश कर रहे हैं (यह कुछ के लायक हो सकता है)। वे एक त्रुटि पृष्ठ को उजागर करने की कोशिश कर सकते हैं जो संवेदी डिबग जानकारी को डंप कर सकता है। अगर ऐसा है तो मैं एक वेब ऐप फ़ायरवॉल स्थापित करने का सुझाव दूंगा। वे इस तरह के संवेदनशील त्रुटि संदेशों और अन्य दुर्व्यवहारों को होने से रोकने के लिए बने हैं।

आप बस आईपी रेंज पर प्रतिबंध लगाने की कोशिश कर सकते हैं और देख सकते हैं कि कौन शिकायत करता है ... हालांकि यह आपका अंतिम उपाय है।

मुझे पूरा यकीन है कि यह अपाचे सिनैप्स नहीं है , यह अरार्ट सिनाप्स के साथ निर्मित कुछ उपकरण हैं , जो डेल्फी टीसीपी / आईपी लाइब्रेरी है। मैंने दोनों प्रोजेक्ट्स से सोर्स कोड डाउनलोड किया है, और जहाँ तक मैं देख सकता हूँ, Apache Synapse में एक कॉन्फ़िगर करने योग्य उपयोगकर्ता-एजेंट है, और डिफ़ॉल्ट है:

दूसरी ओर, अरार्ट सिनेप्स में यह डिफ़ॉल्ट उपयोगकर्ता एजेंट है:

यह वैसा ही है जैसा आपके लॉग में है, और मेरे पास विभिन्न SQL इंजेक्शन हमलों के साथ जांच करने वाले उपयोगकर्ता के बिल्कुल समान है। संभवतया हमलावर डेल्फी में अरार्ट सिनैप्स लाइब्रेरी के साथ निर्मित कुछ उपकरणों का उपयोग कर रहे हैं।

चूंकि बुरे लोग डिफ़ॉल्ट उपयोगकर्ता-एजेंट को नहीं बदलते थे, इसलिए मुझे लगता है कि इसे ब्लॉक करना सुरक्षित है:

Mozilla/4.0 (compatible; Synapse)

आंशिक रूप से नहीं क्योंकि आप Apache Synapse पर चलने वाले कुछ वैध टूल को ब्लॉक कर सकते हैं, और मेरा मानना ​​है कि कोई भी वैध बॉट या प्रोजेक्ट उपयोगकर्ता-एजेंट को परिभाषित करेगा और डिफ़ॉल्ट के साथ नहीं छिपाएगा।

आईपी ​​को अवरुद्ध करने का कोई मतलब नहीं है क्योंकि ऐसा लगता है कि यह हमला दुनिया भर के विभिन्न आईपी पतों से हो रहा है, शायद कुछ बोटनेट्स भी हैं।

समान व्यक्ति जो दृश्य -1 में इंजेक्शन लगाने की कोशिश कर रहा है:

finder-query: -1'

यह शायद एक स्वचालित SQL इंजेक्शन परीक्षक उपकरण है।

मैंने हाल ही में इस यूजर-एजेंट को एक आईपी से आते देखा है:

217.35.nn.nn - - [21 / फ़रवरी / 2012: 07: 01 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "मोज़िला / 4.0 (संगत) ; Synapse) "
217.35.nn.nn - - [21 / फ़रवरी / 2012: 08: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "मोज़िला / 4.0 (संगत) ; Synapse) "

यह निश्चित रूप से जल्द ही एक निश्चित दुर्भावनापूर्ण उपयोगकर्ता एजेंट (हवीज) द्वारा पीछा किया गया था :

217.35.nn.nn - - [21 / फ़रवरी / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "मोज़िला / 4.0 (संगत); MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) हविज "
217.35.nn.nn - - [21 / फ़रवरी / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" मोज़िला / 4.0 (संगत); MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) हविज "

इसके बाद SQL इंजेक्शन में कई प्रयास किए गए।

सिनैप्स अपने आप में दुर्भावनापूर्ण नहीं है, लेकिन इसका उपयोग डेटा-संचालित वेबसाइटों की जांच के लिए किया जा रहा है। यदि आपकी वेबसाइट किसी को भी API नहीं देती है, तो मैं इस उपयोगकर्ता एजेंट को ब्लॉक कर दूंगा। शायद IP पते से ट्रैफ़िक को ब्लॉक करने के लिए विफलता 2bone में अपाचे-बैडबॉट फ़िल्टर का उपयोग करें जो इस एजेंट स्ट्रिंग का उपयोग करने का प्रयास करते हैं। और 'हविज' को वहीं पर रखें, जब आप उस पर हों।

मैंने 75 मिलियन से अधिक अनुरोधों के साथ हमारे सुरक्षा एप्लिकेशन द्वारा एकत्रित किए गए अपने डेटाबेस की जाँच की है और केवल उस उपयोगकर्ता एजेंट को बिना किसी संदर्भ URL के पाया है।

इसके अलावा, मैं देख सकता हूं कि उन्होंने कम से कम एक मिनट के भीतर विभिन्न उप-क्षेत्रों को मारा और एक सामान्य आगंतुक इतनी जल्दी नेविगेट नहीं कर सका।

मैं उस उपयोगकर्ता एजेंट के लिए केवल 23 अनुरोधों को गिनता हूं ताकि मैंने लोगों को अवरुद्ध कर दिया है। यहां मेरी साइटों के आईपी पते हैं:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

मैं इस उपयोगकर्ता एजेंट को खोजने के बाद यहां आया हूं। एक अलग आईपी (91.127.90.220) लेकिन एक ही दृष्टिकोण - फॉर्म के प्रत्येक क्षेत्र को बदले में -1 [उद्धरण] द्वारा बदल दिया जाता है।

यह एकमात्र समय है जब मैंने कभी इसका उपयोग किया है, इसलिए मैं सहमत हूं कि इस पर प्रतिबंध लगाना आगे का रास्ता है।