什么是 Apache 突触?
Are*_*n B 39 apache-http-server user-agent
我的网站不断收到带有以下用户代理字符串的奇怪请求:
Mozilla/4.0 (compatible; Synapse)
使用我们的友好工具谷歌,我能够确定这是我们友好社区Apache Synapse的标志性名片。“轻量级 ESB(企业服务总线)”。
现在,根据我能够收集到的这些信息,我仍然不知道这个工具是用来做什么的。我只能说这与 Web 服务有关,并且支持多种协议。信息页面只会让我得出结论,它与代理和网络服务有关。
我遇到的问题是,虽然通常我不在乎,但我们受到俄罗斯 IP 的影响很大(不是说俄罗斯 IP 不好,但我们的网站非常具有区域性),当他们这样做时将奇怪的(至少不是 xss/恶意的)值重新推送到我们的查询字符串参数中。
像&PageNum=-1或之类的东西&Brand=25/5/2010 9:04:52 PM。
在我继续从我们的网站阻止这些 ips/useragent 之前,我需要一些帮助来了解正在发生的事情。
任何帮助将不胜感激 :)
小智 25
我很确定这不是Apache Synapse,它是一些用Ararat Synapse构建的工具,它是一个Delphi TCP/IP 库。我下载了两个项目的源代码,据我所知,Apache Synapse 有一个可配置的用户代理,默认是:
另一方面,Ararat Synapse 有这个默认的用户代理:
这就像你在日志中的那个一样,我有完全相同的用户代理探测各种 SQL 注入攻击。攻击者可能正在使用 Delphi 中内置的一些工具和 Ararat Synapse 库。
由于坏人没有更改默认的用户代理,我认为阻止这个是安全的:
Mozilla/4.0 (compatible; Synapse)
部分是因为您可以阻止在 Apache Synapse 上运行的一些合法工具,而且我相信任何合法的机器人或项目都会定义用户代理而不是默认隐藏。
阻止 IP 毫无意义,因为攻击似乎来自世界各地的各种 IP 地址,可能是一些僵尸网络。
Dai*_*tsu 11
是否所有 IP 都来自特定范围?该范围是否分配给特定公司?如果是,只需查找范围分配给谁并联系列出的技术联系人。
我能想到的最有可能的事情是他们正在从您的网页中抓取内容或编程一些会抓取内容的东西(这将奇怪的边界条件解释为参数)。
它可能有点不那么无辜,我不知道你想要保护什么数据(它可能是值得的)。他们可能试图暴露一个错误页面,该页面可以转储敏感的调试信息。如果是这种情况,那么我建议设置 Web 应用程序防火墙。它们旨在防止此类敏感的错误消息和其他滥用行为的发生。
您可以尝试禁止 IP 范围,看看谁抱怨……尽管这是您的最后手段。
小智 6
同一个人试图将 -1 注入视图状态:
finder-query: -1'
它可能是一个自动化的 SQL 注入测试工具。
小智 5
我最近看到这个用户代理来自一个 IP:
217.35.nn.nn - - [21/Feb/2012:07:01:22 +0000] "GET /view/pubcal.php?event=17' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (兼容; 突触)" 217.35.nn.nn - - [21/Feb/2012:08:06:31 +0000] "GET /view/pubcal.php?event=16' HTTP/1.0" 200 405 "-" "Mozilla/4.0 (兼容; 突触)"
紧随其后的是一个绝对恶意的用户代理(Havij):
217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=1 HTTP/1.1" 200 6627 "-" "Mozilla/4.0(兼容; MSIE 7.0;Windows NT 5.1;SV1;.NET CLR 2.0.50727) Havij” 217.35.nn.nn - - [21/Feb/2012:10:44:26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP/1.1" 200 2235 "-" "Mozilla/4.0(兼容; MSIE 7.0;Windows NT 5.1;SV1;.NET CLR 2.0.50727) Havij”
随后是多次尝试 SQL 注入。
Synapse 本身并不是恶意的,但它似乎确实被用来探测数据驱动的网站。如果您的网站不向任何人提供 API,我会阻止此用户代理。也许在 fail2ban 中使用 apache-badbots 过滤器来阻止来自尝试使用此代理字符串的 IP 地址的流量。当你在那里的时候,把'Havij'也贴在那里。
| 归档时间: |
|
| 查看次数: |
17079 次 |
| 最近记录: |