Si tratta di un attacco di ViewState?

12

Recentemente ho trovato questa richiesta nel registro eventi:

Client IP: 193.203.XX.XX
Port: 53080
User-Agent: Mozilla/4.0 (compatible; Synapse)
ViewState: -1'
Referer: 

Ora, la parte ViewState: -1 " combinata con l'origine dell'indirizzo IP (l'Ucraina, non abbiamo clienti lì) mi fa apparire sospetto. È un nuovo tipo di attacco e dovrei essere preoccupato?

Aggiorna

Ecco il registro:

2012-08-14 10:13:17 GET /Gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 200 0 0 546
2012-08-14 10:13:17 POST /gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 500 0 0 218
    
posta jao 14.08.2012 - 12:19
fonte

6 risposte

6

Finché hai preso tutte le solite precauzioni di sicurezza, questo non è niente di cui preoccuparsi.

In un sito Web che gestisco, l'ho impostato in modo tale che tutti gli errori non rilevati vengano registrati e inviati via email. Apro spesso la mia casella di posta per trovare richieste simili. Il solito schema nella mia esperienza è che il crawler esegue la scansione di tutti i nomi di tag <input> e imposta a turno il valore di ciascuno su -1' .

Normalmente questo è accompagnato da uno scarso tentativo di spoofing del ViewState, che fallisce invariabilmente perché non solo non hanno la possibilità di generare un ViewState valido per abbinare la loro richiesta falsa, ma sembrano anche mettere un carico di alfanumerici casuali ( piuttosto che effettivamente costruire una stringa codificata Base-64 valida.

    
risposta data 14.08.2012 - 17:11
fonte
8

Sono abbastanza sicuro che questo non sia Apache Synapse, è uno strumento creato con Ararat Synapse , questa è una libreria TCP / IP creata con Delphi . Ho scaricato il codice sorgente da entrambi i progetti, e per quanto posso vedere Apache Synapse ha un user-agent configurabile, e l'impostazione predefinita è:

Synapse-HttpComponents-NIO

D'altra parte, Ararat Synapse ha un agente utente predefinito:

Proprio come uno che hai nei tuoi log, e ho esattamente lo stesso user agent che sta analizzando vari attacchi SQL Injection, probabilmente gli hacker stanno usando alcuni tool build in Delphi con Ararat Synapse.

Dato che i cattivi non hanno cambiato l'utente-agente predefinito, penso che sia sicuro bloccare l'agente utente:

Mozilla/4.0 (compatible; Synapse)

non parzialmente perché puoi bloccare alcuni strumenti legittimi in esecuzione su Apache Synapse.

    
risposta data 04.10.2013 - 00:22
fonte
7

Synapse è un server Apache progettato per la gestione di documenti XML. È molto raro vederlo in un agente utente. Il -1 non sembra un vero attacco, è più probabile che un sondaggio elabori la versione di IIS che stai utilizzando.

Ho trovato una domanda simile su ServerFault che ha menzionato l'intestazione di Synapse, che ha provocato un consenso sul fatto che il traffico non era legittimo.

Per sicurezza, ti suggerisco di inserire nella lista nera l'indirizzo IP.

    
risposta data 14.08.2012 - 12:49
fonte
3

Secondo user-agents.org è un servizio web Apache per l'elaborazione di documenti XML.

La documentazione di apache può essere trovata qui . Un estratto della documentazione sais:

Synapse: A Web service Mediation Framework project

Synapse will be a robust, lightweight implementation of a highly scalable and distributed >service mediation framework on Web services specifications.

Ho visto questo user-agent solo da più di 10 anni. Presterei particolare attenzione a quell'indirizzo IP, ma non lo bloccherò necessariamente. Spesso ci sono un sacco di user agent che colpiscono indirizzi IP pubblici, quindi questo probabilmente non sarà il primo. Non lo tratterei come un attacco, ma forse come una sonda iniziale in una ricognizione.

    
risposta data 14.08.2012 - 13:24
fonte
3

Fornire un ViewState of -1' causerà un'eccezione su alcuni sistemi . Sulla base del messaggio di eccezione, non credo che questo problema sia sfruttabile. Tuttavia, l'aggressore potrebbe profilare il tuo server per altri attacchi. Sono quasi certo altre richieste inviate da questo indirizzo IP, senza i log di queste richieste sarà molto difficile (impossibile) capire cosa sta facendo l'attaccante.

    
risposta data 14.08.2012 - 15:46
fonte
3

Recentemente un attacco simile è stato eseguito sul mio server Web di recente. Ecco alcune informazioni per coloro che incontrano il furfante che attacca le loro macchine.

  1. L'attacco sembra essere fatto in due fasi, la scansione con uno strumento benigno automatizzato seguito da richieste maligne da un IP diverso.
  2. Il bot di scansione userà solitamente il seguente agente utente "Mozilla / 4.0 (compatibile; Synapse)".
  3. Bot sembra indirizzare i server Windows che eseguono un sito Web ASP.NET. Tutte le richieste per le quali ho visto i log contengono file .aspx.
  4. L'attacco è sicuramente fatto su una botnet. Ecco un elenco IP per Paese di tutte le macchine zombie che ho incontrato sul nostro server a partire dal 09/04/2013:

Argentina (AR)

  • 190.114.70.209

Bulgaria (BG)

  • 178.75.221.101
  • 46.55.153.74

Belarus (BY)

  • 178.123.107.58
  • 178.123.183.9
  • 178.124.241.55
  • 178.127.154.20
  • 37.45.49.245
  • 82.209.223.166
  • 86.57.186.135
  • 91.187.19.38
  • 93.84.243.246
  • 93.85.12.94
  • 93.85.157.19

Cina (CN)

  • 14.109.132.174
  • 175.44.13.11
  • 222.182.200.23
  • 27.154.203.73

Repubblica Ceca (CZ)

  • 188.120.211.30

Ecuador (EC)

  • 186.5.91.178
  • 190.214.112.254

Egitto (EG)

  • 105.200.65.80

Indonesia (ID)

  • 103.28.114.188
  • 118.97.108.90
  • 36.76.54.17
  • 36.83.114.190
  • 39.224.153.181

India (IN)

  • 112.79.43.244
  • 116.203.241.135
  • 122.170.116.58

Iraq (IQ)

  • 109.127.81.124

Iran, Repubblica islamica di (IR)

  • 2.181.85.207
  • 91.98.216.77

Giappone (JP)

  • 116.254.35.37
  • 117.18.194.211
  • 42.124.17.116

Kazakistan (KZ)

  • 2.133.205.0
  • 2.135.1.203
  • 37.150.29.72

Messico (MX)

  • 187.135.100.62

Filippine (PH)

  • 112.198.64.40
  • 49.144.213.238

Federazione russa (RU)

  • 213.87.120.10
  • 91.205.160.3

Arabia Saudita (SA)

  • 46.235.91.185

Thailandia (TH)

  • 183.88.247.70

Tunisia (TN)

  • 41.227.150.182

Taiwan (TW)

  • 111.251.168.52
  • 114.44.181.250
  • 114.44.8.189

Ucraina (UA)

  • 109.251.144.46
  • 109.87.24.178
  • 176.107.192.2
  • 176.108.98.8
  • 178.93.69.165
  • 188.231.129.151
  • 193.106.162.74
  • 193.203.48.46
  • 195.200.245.115
  • 31.131.138.32
  • 46.118.147.64
  • 79.171.125.163

Vietnam (VN)

  • 171.255.4.195
  • 171.255.8.245
  • 27.78.121.197

Sudafrica (ZA)

  • 105.225.125.72
  • 41.177.29.18

Alcune contromisure suggerite:

  1. Registrazione del traffico sul sito web di destinazione.
  2. Blocca la stringa User Agent dello strumento di scansione automatica. La parte "(compatibile, Synapse)" lo rende molto particolare dai normali visitatori del sito web.
  3. Disattiva l'interprete di codice .NET per i siti Web che non lo richiedono, ad esempio i siti Web solo PHP. Questo restringe la superficie di attacco in quanto la vulnerabilità sfruttata è chiaramente correlata a .NET o MSSQL.
  4. Paesi di blocco IP di GEO nei quali non è necessario l'accesso al sito o al servizio. La maggior parte del traffico sembra provenire da Paesi non di lingua inglese.
risposta data 04.09.2013 - 16:33
fonte

Leggi altre domande sui tag