[AsteriskBrasil] invasao

Jose Eduardo Constantino Mazolini jose.mazolini em fnis.com.br
Quarta Março 16 16:44:47 BRT 2011 

Eu já tinha ouvido falar deste fato de hora retornar inexistente hora invalido.

E por segurança a resposta sempre deveria ser usuário OU senha inválido.

O que fiz por orientação da lista mesmo alwaysauthreject=yes no sip.conf

Ouvi falar do fail to ban mas não implantei.

A algum tempo implantei um firewall layer 7 em uma RouterBoard se o cara receber um SIP/2.0 403 enviado por uma porta 5060 de alguém da interface interna para qualquer  porta saindo pela interface de internet é banido por X horas.

Lembrando a RouterBoard usa iptables e o projeto de firewall 7-layer.

Em um Linux tem que copiar o arquivo da pasta de protocolos do 7-layer e editar ele para conter algo como "sip\/[1-2]\.[0-9].403" não coloque o "^"pra indicar inicio pois a primeira resposta não é 403, costuma ser 401 para indicar que tem que usar senha e como é udp considera o mesmo stream o que torna o segundo pacote uma continuação. Alguém pode melhorar a string colocando um numero fixo de caracteres que existe no primeiro pacote.

 

 

From: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] On Behalf Of jose
Sent: terça-feira, 15 de março de 2011 14:01
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] invasao

 

 

Eder

 

O pior de tudo é que nao tem tentativa de acesso nos ramais como normalmente é feito, entrou pelo contexto from-sip-external

Obrigado a todos pelas respostas 

abçs

 

From: Eder Souza <mailto:eder.souza em bsd.com.br>  

Sent: Tuesday, March 15, 2011 9:41 AM

To: asteriskbrasil em listas.asteriskbrasil.org 

Subject: Re: [AsteriskBrasil] invasao

 

É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!

Desta maneira o protocolo SIP  sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido!

Com o Ramal  na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações !

Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente !

http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/
PS: modo primitivo que demonstra como é feito tudo ...

Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais !

Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte..


Att,


Eng Eder de Souza



Em 15 de março de 2011 09:22, jose <jasanchez em terra.com.br> escreveu:

 

Bom dia  Pessoal

 

Algum especialista poderia me explicar como esta acontecendo essa invasao abaixo: Obrigado

 

-- Executing [00442070661000 em from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from unknown peer to 00442070661000") in new stack 

    -- Executing [00442070661000 em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack

    -- Executing [00442070661000 em from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack

    -- Goto (from-sip-external,s,1)

    -- Executing [s em from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new stack

    -- Executing [s em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack

    -- Channel will hangup at 2011-03-15 03:45:15 UTC.

    -- Executing [s em from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new stack

    -- Executing [s em from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new stack

  == Spawn extension (from-sip-external, s, 4) exited non-zero on 'SIP/94.136.54.147-086b6658'

    -- Executing [h em from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack

    -- Executing [h em from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack

    -- Executing [h em from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack

    -- Goto (from-sip-external,s,1)


_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

 

________________________________

_______________________________________________
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. 
- Hardware com alta disponibilidade de recursos e qualidade KHOMP
- Suporte técnico local qualificado e gratuito 
Conheça a linha completa de produtos KHOMP em www.khomp.com.br
_______________________________________________
Headsets Plantronics com o melhor preço do Brasil.
Acesse agora www.voipmania.com.br
VOIPMANIA STORE
________
Lista de discussões AsteriskBrasil.org
AsteriskBrasil em listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org



A informação contida nesta mensagem é confidencial e de propriedade da Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.


The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20110316/2b1bccf9/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil