¿Es este un ataque de ViewState?

Navega tus respuestas
12

Recientemente encontré esta solicitud en el registro de eventos: 

Client IP: 193.203.XX.XX
Port: 53080
User-Agent: Mozilla/4.0 (compatible; Synapse)
ViewState: -1'
Referer:

Ahora, la parte ViewState: -1 ' combinada con el origen de la dirección IP (Ucrania, no tenemos clientes allí) hace que me parezca sospechoso. ¿Es este un nuevo tipo de ataque y debería preocuparme?

Actualizar

Aquí está el registro: 

2012-08-14 10:13:17 GET /Gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 200 0 0 546
2012-08-14 10:13:17 POST /gesloten.aspx - 80 - 193.203.XX.XX Mozilla/4.0+(compatible;+Synapse) 500 0 0 218
    
pregunta jao 14.08.2012 - 12:19
fuente

6 respuestas

6

Mientras haya tomado todas las precauciones de seguridad habituales, esto no es nada de qué preocuparse.

En un sitio web que mantengo, lo he configurado para que cualquier error no detectado se registre y se me envíe por correo electrónico. A menudo abro mi bandeja de entrada para encontrar solicitudes similares. El patrón habitual en mi experiencia es que el rastreador analice todos los nombres de etiquetas <input> y establezca el valor de cada uno en -1' a su vez.

Esto suele ir acompañado de un mal intento de falsificación del ViewState, que siempre falla porque no solo no tienen la posibilidad de generar un ViewState válido para que coincida con su solicitud falsa, sino que también parecen poner una carga de caracteres alfanuméricos aleatorios ( en lugar de construir una cadena codificada en Base-64 válida).

    
respondido por el Widor 14.08.2012 - 17:11
fuente
8

Estoy bastante seguro de que este no es Apache Synapse, es una herramienta creada con Ararat Synapse , esta es una biblioteca TCP / IP construida con Delphi . Descargué el código fuente de ambos proyectos, y por lo que puedo ver, Apache Synapse tiene un agente de usuario configurable, y el valor predeterminado es: 

Synapse-HttpComponents-NIO

Por otro lado, Ararat Synapse tiene un agente de usuario predeterminado:

Al igual que uno que tiene en sus registros, y tengo exactamente el mismo agente de usuario que está probando varios ataques de Inyección de SQL, probablemente los atacantes están usando alguna herramienta en Delphi con Ararat Synapse.

Dado que los chicos malos no cambiaron el agente de usuario predeterminado, creo que es seguro bloquear el agente de usuario: 

Mozilla/4.0 (compatible; Synapse)

no parcialmente porque puedes bloquear alguna herramienta legítima que se ejecuta en Apache Synapse.

    
respondido por el Antonio Bakula 04.10.2013 - 00:22
fuente
7

Synapse es un servidor Apache diseñado para administrar documentos XML. Es muy raro verlo en un agente de usuario. El -1 no parece un ataque real, es más probable que una sonda determine qué versión de IIS está utilizando.

Encontré una pregunta similar en ServerFault que mencionó el encabezado Synapse, que resultó en una Consenso de que el tráfico no era legítimo.

Para estar seguro, sugiero que incluya la dirección IP en una lista negra.

    
respondido por el Polynomial 14.08.2012 - 12:49
fuente
3
< user-agents.org es el servicio web Apache para procesar documentos XML.

La documentación de Apache puede ser que se encuentra aquí . Un extracto de la documentación dice:

  

Sinapsis: un proyecto de marco de mediación de servicios web

     

Synapse será una implementación robusta y liviana de un marco de mediación de servicios > altamente escalable y distribuido en especificaciones de servicios web.

Solo he visto este agente de usuario una vez durante 10 años. Le prestaría más atención a esa dirección IP, pero no la bloquearía necesariamente. A menudo hay una gran cantidad de agentes de usuario extraños que ingresan a direcciones IP públicas, por lo que probablemente esta no sea la primera. No lo trataría como un ataque, pero tal vez como una sonda inicial en un reconocimiento.

    
respondido por el Chris Dale 14.08.2012 - 13:24
fuente
3

Proporcionar un ViewState of -1' causará una excepción en algunos sistemas . Basado en el mensaje de excepción, no creo que este problema sea explotable. Sin embargo, el atacante puede estar perfilando su servidor para otros ataques. Estoy casi seguro de que otras solicitudes fueron enviadas por esta dirección IP, sin registros de estas solicitudes será muy difícil (imposible) averiguar qué está haciendo el atacante.

    
respondido por el rook 14.08.2012 - 15:46
fuente
3

Hace poco tuve un ataque similar en mi servidor web. Aquí hay información para aquellos que se encuentran con el sinvergüenza que ataca sus máquinas.

  1. El ataque parece realizarse en dos fases, escaneando con una herramienta automatizada y benigna seguida de solicitudes maliciosas de una IP diferente.
  2. El robot de escaneo usualmente usará el siguiente Agente de usuario "Mozilla / 4.0 (compatible; Synapse)".
  3. El bot parece apuntar a los servidores Windows que ejecutan un sitio web ASP.NET. Todas las solicitudes para las que he visto registros contienen archivos .aspx.
  4. El ataque se está haciendo definitivamente en una red de bots. Aquí hay una lista de IP por país de todas las máquinas zombie que he encontrado en nuestro servidor hasta el 09/04/2013:

Argentina (AR)

  • 190.114.70.209

Bulgaria (BG)

  • 178.75.221.101
  • 46.55.153.74

Bielorrusia (BY)

  • 178.123.107.58
  • 178.123.183.9
  • 178.124.241.55
  • 178.127.154.20
  • 37.45.49.245
  • 82.209.223.166
  • 86.57.186.135
  • 91.187.19.38
  • 93.84.243.246
  • 93.85.12.94
  • 93.85.157.19

China (CN)

  • 14.109.132.174
  • 175.44.13.11
  • 222.182.200.23
  • 27.154.203.73

República Checa (CZ)

  • 188.120.211.30

Ecuador (EC)

  • 186.5.91.178
  • 190.214.112.254

Egipto (EG)

  • 105.200.65.80

Indonesia (ID)

  • 103.28.114.188
  • 118.97.108.90
  • 36.76.54.17
  • 36.83.114.190
  • 39.224.153.181

India (IN)

  • 112.79.43.244
  • 116.203.241.135
  • 122.170.116.58

Iraq (IQ)

  • 109.127.81.124

Irán, República Islámica de (IR)

  • 2.181.85.207
  • 91.98.216.77

Japón (JP)

  • 116.254.35.37
  • 117.18.194.211
  • 42.124.17.116

Kazajstán (KZ)

  • 2.133.205.0
  • 2.135.1.203
  • 37.150.29.72

México (MX)

  • 187.135.100.62

Filipinas (PH)

  • 112.198.64.40
  • 49.144.213.238

Federación Rusa (RU)

  • 213.87.120.10
  • 91.205.160.3

Arabia Saudita (SA)

  • 46.235.91.185

Tailandia (TH)

  • 183.88.247.70

Túnez (TN)

  • 41.227.150.182

Taiwán (TW)

  • 111.251.168.52
  • 114.44.181.250
  • 114.44.8.189

Ucrania (UA)

  • 109.251.144.46
  • 109.87.24.178
  • 176.107.192.2
  • 176.108.98.8
  • 178.93.69.165
  • 188.231.129.151
  • 193.106.162.74
  • 193.203.48.46
  • 195.200.245.115
  • 31.131.138.32
  • 46.118.147.64
  • 79.171.125.163

Vietnam (VN)

  • 171.255.4.195
  • 171.255.8.245
  • 27.78.121.197

Sudáfrica (ZA)

  • 105.225.125.72
  • 41.177.29.18

Algunas contramedidas sugeridas:

  1. Registro de tráfico en el sitio web de destino.
  2. Bloquee la cadena de agente de usuario de la herramienta de escaneo automatizada. La parte "(compatible; Synapse)" la hace muy única de los visitantes habituales del sitio web.
  3. Desactive el intérprete de código .NET para los sitios web que no lo requieren, como los sitios web que solo son PHP. Esto reduce la superficie de ataque, ya que la vulnerabilidad que se explota está claramente relacionada con .NET o MSSQL.
  4. Países de bloqueo de IP de GEO en los que no necesitan acceso a su sitio o servicio. La mayor parte del tráfico parece provenir de países que no hablan inglés.
respondido por el Chaoix 04.09.2013 - 16:33
fuente

Lea otras preguntas en las etiquetas

¿Qué puedo hacer después de un ataque a nuestro sistema que afectó nuestra ruta de inicio de sesión? ¿Existe algún beneficio de seguridad al no usar los servicios de correo electrónico recientemente asociados con PRISM?