[AsteriskBrasil] invasao

Shazaum shazaum em gmail.com
Terça Março 15 09:51:43 BRT 2011


Eber, :P

para ser bem sincero isso não é novidade :P ( eu ja conheço a bastante tempo
)
existem outras tecnicas que são 0days, que estão presente desda versão 1.2.0

não posso falar muito por outras questões, mas posso dar uma dica, como todo
mundo sabe, existem grupos "underground" que ficam estudando inumeras
ferramentas para esse fim...
mas onde encontra-los? na terra de ninguem é possivel achar alguns (vulgo
efnet)
oftc é um outro lugar que possa ser possivel achar, (detalhe importante
cuidado ao espor seu host)

pronto falei demais


--

Renato dos Santos
shazaum.wordpress.com
http://www.beersd.com.br



2011/3/15 Eder Souza <eder.souza em bsd.com.br>

> É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com
> envio de informçãoes forjadas para simular registro em seu servidor
> Asterisk!
>
> Desta maneira o protocolo SIP  sempre da uma resposta de retorno e assim se
> consegue informação de ramais válidos dos seu servidor o mesmo acontece para
> as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos
> sao analisados então apartir dos retornos dos ramais válidos se inicia um
> outro ataque por dicionarios a procura das senhas fracas de cada ramal
> válido!
>
> Com o Ramal  na mão e com a senha eles se conectam em seu servidor e tentam
> iniciar ligações !
>
> Em meus testes contrui 1 script que faz algo parecido para achar ramais
> válidos remotamente !
>
> http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
> PS: modo primitivo que demonstra como é feito tudo ...
>
> Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que
> vai encontrar varias tentativas de acesso a ramais !
>
> Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar
> qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido
> pelos atacantes para a nossa sorte..
>
>
> Att,
>
>
> Eng Eder de Souza
>
>
> Em 15 de março de 2011 09:22, jose <jasanchez em terra.com.br> escreveu:
>
>>
>>  Bom dia  Pessoal
>>
>> Algum especialista poderia me explicar como esta acontecendo essa invasao
>> abaixo: Obrigado
>>
>> -- Executing [00442070661000 em from-sip-external:1]
>> NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from
>> unknown peer to 00442070661000") in new stack
>>
>>     -- Executing [00442070661000 em from-sip-external:2]
>> Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack
>>
>>     -- Executing [00442070661000 em from-sip-external:3]
>> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>>
>>     -- Goto (from-sip-external,s,1)
>>
>>     -- Executing [s em from-sip-external:1]
>> GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new
>> stack
>>
>>     -- Executing [s em from-sip-external:2]
>> Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack
>>
>>     -- Channel will hangup at 2011-03-15 03:45:15 UTC.
>>
>>     -- Executing [s em from-sip-external:3]
>> Answer("SIP/94.136.54.147-086b6658", "") in new stack
>>
>>     -- Executing [s em from-sip-external:4]
>> Wait("SIP/94.136.54.147-086b6658", "2") in new stack
>>
>>   == Spawn extension (from-sip-external, s, 4) exited non-zero on
>> 'SIP/94.136.54.147-086b6658'
>>
>>     -- Executing [h em from-sip-external:1]
>> NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack
>>
>>     -- Executing [h em from-sip-external:2]
>> Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack
>>
>>     -- Executing [h em from-sip-external:3]
>> Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack
>>
>>     -- Goto (from-sip-external,s,1)
>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Headsets Plantronics com o melhor preço do Brasil.
>> Acesse agora www.voipmania.com.br
>> VOIPMANIA STORE
>> ________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Headsets Plantronics com o melhor preço do Brasil.
> Acesse agora www.voipmania.com.br
> VOIPMANIA STORE
> ________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110315/d5a14894/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil