[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Marcio - Google marciorp em gmail.com
Quarta Julho 31 12:40:55 BRT 2013


Exatamente o que o Hudson disse ...
Falha no dimensionamento e configuração.


[...]'s

Marcio

========================================
########### Campanha Ajude o Marcio! ###########
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
========================================


Em 31 de julho de 2013 11:06, Hudson Cardoso
<hudsoncardoso em hotmail.com>escreveu:

>    O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa
> que o teu firewall não está corretamente
> dimensionado, e/ou configurado.
>   No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest
> pede acesso ao diaplan, simplesmente
> dou HangUp em todos os Guest.
>
>
> Hudson
> (048) 8413-7000
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> > From: caiopato em gmail.com
> > Date: Wed, 31 Jul 2013 11:47:25 -0300
> > To: asteriskbrasil em listas.asteriskbrasil.org
> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
>
> >
> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP
> > 67.207.137.49 (Rackspace Cloud Servers),
> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no
> iptables.
> > Não investiguei a fundo o método do ataque, mas basicamente ele estava
> > tentando cavar uma falha no dialplan.
> >
> > No console apareceu:
> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
> > Not a SIP header (tel:1900442075005000)?
> > ...
> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
> > Not a SIP header (tel:2440900442075005000)?
> >
> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,
> > 39, .... até chegar no 24409 quando eu bloqueei via iptables.
> >
> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs
> gerados.
> >
> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode
> > ser apenas um número teste - se o atacante receber "CONNECT", a
> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas
> > para outros destinos.
> >
> > Então vale o eterno conselho: fique de olho - não confie só no fail2ban.
> > _______________________________________________
> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> > Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> > _______________________________________________
> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> > _______________________________________________
> > Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/c0bd26ca/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil