[AsteriskBrasil] invasao

jose jasanchez em terra.com.br
Terça Março 15 14:00:53 BRT 2011 

Eder

O pior de tudo é que nao tem tentativa de acesso nos ramais como normalmente é feito, entrou pelo contexto from-sip-external
Obrigado a todos pelas respostas 
abçs


From: Eder Souza 
Sent: Tuesday, March 15, 2011 9:41 AM
To: asteriskbrasil em listas.asteriskbrasil.org 
Subject: Re: [AsteriskBrasil] invasao


É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!

Desta maneira o protocolo SIP  sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido!

Com o Ramal  na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações !

Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente !

http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
PS: modo primitivo que demonstra como é feito tudo ...

Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais !

Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte..


Att,


Eng Eder de Souza



Em 15 de março de 2011 09:22, jose <jasanchez em terra.com.br> escreveu:


  Bom dia  Pessoal

  Algum especialista poderia me explicar como esta acontecendo essa invasao abaixo: Obrigado

  -- Executing [00442070661000 em from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from unknown peer to 00442070661000") in new stack 
      -- Executing [00442070661000 em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack

      -- Executing [00442070661000 em from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack

      -- Goto (from-sip-external,s,1)

      -- Executing [s em from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new stack

      -- Executing [s em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack

      -- Channel will hangup at 2011-03-15 03:45:15 UTC.

      -- Executing [s em from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new stack

      -- Executing [s em from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new stack

    == Spawn extension (from-sip-external, s, 4) exited non-zero on 'SIP/94.136.54.147-086b6658'

      -- Executing [h em from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack

      -- Executing [h em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack

      -- Executing [h em from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack

      -- Goto (from-sip-external,s,1)


  _______________________________________________
  KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
  - Hardware com alta disponibilidade de recursos e qualidade KHOMP
  - Suporte técnico local qualificado e gratuito
  Conheça a linha completa de produtos KHOMP em www.khomp.com.br
  _______________________________________________
  Headsets Plantronics com o melhor preço do Brasil.
  Acesse agora www.voipmania.com.br
  VOIPMANIA STORE
  ________
  Lista de discussões AsteriskBrasil.org
  AsteriskBrasil em listas.asteriskbrasil.org
  http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
  ______________________________________________
  Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org





--------------------------------------------------------------------------------


_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110315/46abf6f0/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil