Apache Synapse क्या है?


39

मेरी वेबसाइट निम्नलिखित उपयोगकर्ता-एजेंट स्ट्रिंग के साथ अजीब अनुरोधों से प्रभावित हो रही है:

Mozilla/4.0 (compatible; Synapse)

हमारे अनुकूल उपकरण Google का उपयोग करके मैं यह निर्धारित करने में सक्षम था कि यह हमारे अनुकूल पड़ोस Apache Synapse का हॉलमार्क कॉलिंग-कार्ड है । एक 'लाइटवेट ईएसबी (एंटरप्राइज सर्विस बस)'।

अब, इस जानकारी के आधार पर मैं इकट्ठा करने में सक्षम था, मुझे अभी भी कोई सुराग नहीं है कि इस उपकरण का उपयोग किस लिए किया जाता है। मैं केवल इतना बता सकता हूं कि वेब-सर्विसेज के साथ कुछ करना है, और विभिन्न प्रकार के प्रोटोकॉल का समर्थन करता है। जानकारी पृष्ठ केवल मुझे यह निष्कर्ष निकालने के लिए आगे ले जाता है कि इसका प्रॉक्सी और वेब-सेवाओं के साथ कुछ करना है।

मेरे द्वारा चलाए जाने वाली समस्या यह है कि आम तौर पर मैं परवाह नहीं करता, हम रूसी आईपी द्वारा बहुत अधिक मार रहे हैं (ऐसा नहीं है कि रूसी खराब हैं, लेकिन हमारी साइट क्षेत्रीय रूप से विशिष्ट है), और जब वे करते हैं ' हमारे क्वेरी स्ट्रिंग पैरामीटर्स में wovd (xss (दुर्भावनापूर्ण रूप से कम से कम नहीं अभी तक नहीं) मानों को पुनः प्राप्त करें।

जैसी बातें &PageNum=-1या &Brand=25/5/2010 9:04:52 PM

इससे पहले कि मैं आगे जाऊं और हमारी साइट से इन ips / useragent को ब्लॉक करूं, मुझे कुछ समझ में आना चाहिए कि अभी क्या चल रहा है।

किसी भी तरह की सहायता का स्वागत किया जाएगा :)


2
यहाँ एक उद्यमी उपयोगकर्ता ( goo.gl/baHJn ) ने अपाचे सिनेप्स के स्रोत पर एक नज़र डाली । यूए हैडर इसका उपयोग करता है जो आपके लॉग दिखाने से मेल नहीं खाता है। इसके अलावा अपने हिस्से पर खुदाई करने से अरारेट सिनाप्स बन गया, जो उस हेडर का उपयोग नहीं करता है।
डग विल्सन

यह अन्य stackexchange साइट पर संबंधित सवाल और कमेंटरी देखें, security.stackexchange.com/questions/18652/...
Funka

जब भी मैं इस उपयोगकर्ता एजेंट पर Google करता हूं, तो मैं इस पोस्ट पर आता हूं, इसलिए मैंने सोचा कि मुझे अपने निष्कर्षों को किसी के साथ साझा करना चाहिए। btpro.net/blog/2013/05/black-revolution-botnet-trojan यह एक बॉटनेट हमला है और अपाचे सिनाप्स परियोजना के साथ करने के लिए कुछ भी (या बहुत कम) नहीं है।
इमरान सईद

जवाबों:


11

क्या सभी IP एक विशिष्ट श्रेणी से हैं? क्या वह सीमा किसी विशिष्ट कंपनी को सौंपी गई है? यदि यह है, तो बस यह देखने के लिए कि किस रेंज को सौंपा गया है और सूचीबद्ध तकनीकी संपर्क से संपर्क करें।

सबसे संभावित बात जो मैं सोच सकता हूं, वह यह है कि वे आपके वेबपेज से सामग्री को स्क्रैप कर रहे हैं या कुछ ऐसा प्रोग्रामिंग कर रहे हैं, जो सामग्री को बिखेर देगा (जो कि तर्क के रूप में अजीब सीमा की स्थिति की व्याख्या करता है)।

यह कुछ कम निर्दोष हो सकता है, मुझे नहीं पता कि आप किस डेटा की रक्षा करने की कोशिश कर रहे हैं (यह कुछ के लायक हो सकता है)। वे एक त्रुटि पृष्ठ को उजागर करने की कोशिश कर सकते हैं जो संवेदी डिबग जानकारी को डंप कर सकता है। अगर ऐसा है तो मैं एक वेब ऐप फ़ायरवॉल स्थापित करने का सुझाव दूंगा। वे इस तरह के संवेदनशील त्रुटि संदेशों और अन्य दुर्व्यवहारों को होने से रोकने के लिए बने हैं।

आप बस आईपी रेंज पर प्रतिबंध लगाने की कोशिश कर सकते हैं और देख सकते हैं कि कौन शिकायत करता है ... हालांकि यह आपका अंतिम उपाय है।


सभी साइट-त्रुटियों को एक छोटे से "साइट त्रुटि" पृष्ठ के साथ प्रस्तुत किया जाता है। अगर वे सिर्फ हमें स्क्रैप कर रहे हैं, तो मुझे कोई फर्क नहीं पड़ता, यह वर्तमान में किसी भी समय एक उपयोगकर्ता अपवाद है कि ई-मेल करने के लिए लॉग इन है अनहैन्ड है उत्पन्न करता है। मुझे अकेले इस आदमी से एक दिन में 100+ मिलते हैं। बेशक सरल समाधान अधिक त्रुटियों को संभालने के लिए है, लेकिन जब मैं इसे देखता था तो यह इंजन बहुत गड़बड़ लग रहा था इसलिए मैं चिंतित था।
अरन बी

25

मुझे पूरा यकीन है कि यह अपाचे सिनैप्स नहीं है , यह अरार्ट सिनाप्स के साथ निर्मित कुछ उपकरण हैं , जो डेल्फी टीसीपी / आईपी लाइब्रेरी है। मैंने दोनों प्रोजेक्ट्स से सोर्स कोड डाउनलोड किया है, और जहाँ तक मैं देख सकता हूँ, Apache Synapse में एक कॉन्फ़िगर करने योग्य उपयोगकर्ता-एजेंट है, और डिफ़ॉल्ट है:

यहाँ छवि विवरण दर्ज करें

दूसरी ओर, अरार्ट सिनेप्स में यह डिफ़ॉल्ट उपयोगकर्ता एजेंट है:

यहाँ छवि विवरण दर्ज करें

यह वैसा ही है जैसा आपके लॉग में है, और मेरे पास विभिन्न SQL इंजेक्शन हमलों के साथ जांच करने वाले उपयोगकर्ता के बिल्कुल समान है। संभवतया हमलावर डेल्फी में अरार्ट सिनैप्स लाइब्रेरी के साथ निर्मित कुछ उपकरणों का उपयोग कर रहे हैं।

चूंकि बुरे लोग डिफ़ॉल्ट उपयोगकर्ता-एजेंट को नहीं बदलते थे, इसलिए मुझे लगता है कि इसे ब्लॉक करना सुरक्षित है:

Mozilla/4.0 (compatible; Synapse)

आंशिक रूप से नहीं क्योंकि आप Apache Synapse पर चलने वाले कुछ वैध टूल को ब्लॉक कर सकते हैं, और मेरा मानना ​​है कि कोई भी वैध बॉट या प्रोजेक्ट उपयोगकर्ता-एजेंट को परिभाषित करेगा और डिफ़ॉल्ट के साथ नहीं छिपाएगा।

आईपी ​​को अवरुद्ध करने का कोई मतलब नहीं है क्योंकि ऐसा लगता है कि यह हमला दुनिया भर के विभिन्न आईपी पतों से हो रहा है, शायद कुछ बोटनेट्स भी हैं।


"कोई भी वैध बॉट या प्रोजेक्ट उपयोगकर्ता-एजेंट को परिभाषित करेगा और डिफ़ॉल्ट के साथ नहीं छिपाएगा।" डिफ़ॉल्ट उपयोगकर्ता एजेंट स्ट्रिंग को देने में कोई दोष नहीं हैं जैसा कि है !!! मैं एक अज्ञात उपयोगकर्ता एजेंट के लिए बहुत अधिक संदिग्ध हो सकता हूं, लेकिन आप हर एक को नहीं जान सकते। आपका समाधान (उपयोगकर्ता एजेंट को ब्लॉक करने के लिए सुरक्षित) शुद्ध बुरे व्यवहार है जैसे डायनेमिक आईपी पर प्रतिबंध। बॉट सबसे ज्ञात या पूरी तरह से अज्ञात एजेंटों का उपयोग करते हैं। यह निश्चित रूप से नहीं है।
डार्कएनड्रो

6

समान व्यक्ति जो दृश्य -1 में इंजेक्शन लगाने की कोशिश कर रहा है:

finder-query: -1'

यह शायद एक स्वचालित SQL इंजेक्शन परीक्षक उपकरण है।


मैं यहां तक ​​कहूंगा कि, इंजेक्षन -1 '(एपोस्ट्रोफ महत्वपूर्ण है)
बिली

5

मैंने हाल ही में इस यूजर-एजेंट को एक आईपी से आते देखा है:

217.35.nn.nn - - [21 / फ़रवरी / 2012: 07: 01 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200 405 "-" "मोज़िला / 4.0 (संगत) ; Synapse) "
217.35.nn.nn - - [21 / फ़रवरी / 2012: 08: 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "मोज़िला / 4.0 (संगत) ; Synapse) "

यह निश्चित रूप से जल्द ही एक निश्चित दुर्भावनापूर्ण उपयोगकर्ता एजेंट (हवीज) द्वारा पीछा किया गया था :

217.35.nn.nn - - [21 / फ़रवरी / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "मोज़िला / 4.0 (संगत); MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) हविज "
217.35.nn.nn - - [21 / फ़रवरी / 2012: 10: 44: 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" मोज़िला / 4.0 (संगत); MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) हविज "

इसके बाद SQL इंजेक्शन में कई प्रयास किए गए।

सिनैप्स अपने आप में दुर्भावनापूर्ण नहीं है, लेकिन इसका उपयोग डेटा-संचालित वेबसाइटों की जांच के लिए किया जा रहा है। यदि आपकी वेबसाइट किसी को भी API नहीं देती है, तो मैं इस उपयोगकर्ता एजेंट को ब्लॉक कर दूंगा। शायद IP पते से ट्रैफ़िक को ब्लॉक करने के लिए विफलता 2bone में अपाचे-बैडबॉट फ़िल्टर का उपयोग करें जो इस एजेंट स्ट्रिंग का उपयोग करने का प्रयास करते हैं। और 'हविज' को वहीं पर रखें, जब आप उस पर हों।


3

मैंने 75 मिलियन से अधिक अनुरोधों के साथ हमारे सुरक्षा एप्लिकेशन द्वारा एकत्रित किए गए अपने डेटाबेस की जाँच की है और केवल उस उपयोगकर्ता एजेंट को बिना किसी संदर्भ URL के पाया है।

इसके अलावा, मैं देख सकता हूं कि उन्होंने कम से कम एक मिनट के भीतर विभिन्न उप-क्षेत्रों को मारा और एक सामान्य आगंतुक इतनी जल्दी नेविगेट नहीं कर सका।

मैं उस उपयोगकर्ता एजेंट के लिए केवल 23 अनुरोधों को गिनता हूं ताकि मैंने लोगों को अवरुद्ध कर दिया है। यहां मेरी साइटों के आईपी पते हैं:

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

2
यह शायद एक बॉटनेट का उपयोग कर रहा है। मुझे नहीं लगता कि उन आईपी पर प्रतिबंध लगाने से किसी को पूरी मदद मिलेगी।
एरेन बी

2
सिवाय इसके कि सभी पते गतिशील आईपी हैं और आप अंततः ग्राहकों को भुगतान करने से रोक रहे हैं ...
ज़ैब

1

मैं इस उपयोगकर्ता एजेंट को खोजने के बाद यहां आया हूं। एक अलग आईपी (91.127.90.220) लेकिन एक ही दृष्टिकोण - फॉर्म के प्रत्येक क्षेत्र को बदले में -1 [उद्धरण] द्वारा बदल दिया जाता है।

यह एकमात्र समय है जब मैंने कभी इसका उपयोग किया है, इसलिए मैं सहमत हूं कि इस पर प्रतिबंध लगाना आगे का रास्ता है।


इसके लायक क्या है, 'अपाचे सिनैप्स' इस व्यवहार के लिए नहीं है। उपयोग किए जा रहे टूल में एक समान एजेंट स्ट्रिंग है। मेरा सुझाव है कि आप अधिक जानकारी के लिए अन्य उत्तर पढ़ें।
Aren B
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.