[AsteriskBrasil] invasao

Eder Souza eder.souza em bsd.com.br
Terça Março 15 09:41:31 BRT 2011


É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com
envio de informçãoes forjadas para simular registro em seu servidor
Asterisk!

Desta maneira o protocolo SIP  sempre da uma resposta de retorno e assim se
consegue informação de ramais válidos dos seu servidor o mesmo acontece para
as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos
sao analisados então apartir dos retornos dos ramais válidos se inicia um
outro ataque por dicionarios a procura das senhas fracas de cada ramal
válido!

Com o Ramal  na mão e com a senha eles se conectam em seu servidor e tentam
iniciar ligações !

Em meus testes contrui 1 script que faz algo parecido para achar ramais
válidos remotamente !

http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
PS: modo primitivo que demonstra como é feito tudo ...

Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que
vai encontrar varias tentativas de acesso a ramais !

Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar
qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido
pelos atacantes para a nossa sorte..


Att,


Eng Eder de Souza


Em 15 de março de 2011 09:22, jose <jasanchez em terra.com.br> escreveu:

>
>  Bom dia  Pessoal
>
> Algum especialista poderia me explicar como esta acontecendo essa invasao
> abaixo: Obrigado
>
> -- Executing [00442070661000 em from-sip-external:1]
> NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from
> unknown peer to 00442070661000") in new stack
>
>     -- Executing [00442070661000 em from-sip-external:2]
> Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack
>
>     -- Executing [00442070661000 em from-sip-external:3]
> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>
>     -- Goto (from-sip-external,s,1)
>
>     -- Executing [s em from-sip-external:1]
> GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new
> stack
>
>     -- Executing [s em from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
> "TIMEOUT(absolute)=15") in new stack
>
>     -- Channel will hangup at 2011-03-15 03:45:15 UTC.
>
>     -- Executing [s em from-sip-external:3]
> Answer("SIP/94.136.54.147-086b6658", "") in new stack
>
>     -- Executing [s em from-sip-external:4]
> Wait("SIP/94.136.54.147-086b6658", "2") in new stack
>
>   == Spawn extension (from-sip-external, s, 4) exited non-zero on
> 'SIP/94.136.54.147-086b6658'
>
>     -- Executing [h em from-sip-external:1]
> NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack
>
>     -- Executing [h em from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
> "DID=s") in new stack
>
>     -- Executing [h em from-sip-external:3]
> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>
>     -- Goto (from-sip-external,s,1)
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110315/79ad4a6c/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil