我的网站不断受到带有以下用户代理字符串的奇怪请求:
Mozilla/4.0 (compatible; Synapse)
使用我们友好的工具谷歌我能够确定这是我们友好社区的标志性名片Apache Synapse. “轻量级 ESB(企业服务总线)”。
现在,根据我收集到的信息,我仍然不知道这个工具有什么用。我只能说它与 Web 服务有关,并且支持多种协议。信息页面只能让我得出结论,它与代理和 Web 服务有关。
我遇到的问题是,虽然通常我不会在意,但我们经常受到俄罗斯 IP 的攻击(并不是说俄罗斯的 IP 不好,而是我们的网站是针对特定地区的),当他们这样做时,他们会将奇怪的(不是 xss/恶意的,至少现在还不是)值推送到我们的查询字符串参数中。
&PageNum=-1诸如或 之类的事情&Brand=25/5/2010 9:04:52 PM。
在我继续从我们的网站阻止这些 ips/useragent 之前,我希望得到一些帮助来了解到底发生了什么。
任何帮助将不胜感激 :)
答案1
所有 IP 是否都来自特定范围?该范围是否分配给特定公司?如果是,只需查找该范围分配给谁并联系列出的技术联系人。
我能想到的最有可能的事情是,他们正在从您的网页上抓取内容或编写一些可以抓取内容的程序(这解释了奇怪的边界条件作为参数)。
这可能是一些不太无辜的事情,我不知道你想保护什么数据(它可能很有价值)。他们可能试图暴露一个可以转储敏感调试信息的错误页面。如果是这样的话,我建议设置一个 Web 应用防火墙。它们是为了防止这种敏感的错误消息和其他滥用行为的发生而创建的。
您可以尝试禁止 IP 范围,看看谁会抱怨……尽管这是您的最后手段。
答案2
我很确定不是Apache Synapse 是使用阿拉拉特突触,这是一个德尔福TCP/IP 库。我下载了这两个项目的源代码,据我所知,Apache Synapse 有一个可配置的用户代理,默认值为:
另一方面,Ararat Synapse 有这个默认用户代理:
它和您日志中的内容一样,而且我使用完全相同的用户代理来探测各种 SQL 注入攻击。攻击者可能使用一些 Delphi 内置的工具和 Ararat Synapse 库。
由于坏人没有更改默认用户代理,我认为阻止这个是安全的:
Mozilla/4.0 (compatible; Synapse)
部分原因并非如此,因为您可以阻止在 Apache Synapse 上运行的一些合法工具,而且我相信任何合法的机器人或项目都会定义用户代理并且不会默认隐藏。
阻止 IP 是没有意义的,因为攻击似乎来自世界各地的各种 IP 地址,可能是一些僵尸网络。
答案3
同一个人试图将 -1 注入视图状态:
finder-query: -1'
它可能是一个自动化 SQL 注入测试工具。
答案4
我检查了我的数据库,其中包含我们的安全应用程序收集的超过 7500 万个请求,仅发现该用户代理没有任何引荐来源 URL。
此外,我发现他们在不到一分钟的时间内访问了各个子域,而普通访问者无法如此快速地导航。
我计算出该用户代理的请求数只有 23 个,所以我屏蔽了这些人。以下是我的网站的 IP 地址:
189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94