[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Danilo Almeida daniloricalmeida em gmail.com
Quarta Julho 31 13:12:26 BRT 2013


recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou.

DROP       all  --  173.242.120.42       anywhere
Nome do Host:173.242.120.42  IP Address: 173.242.120.42  País: United
States<http://en.wikipedia.org/wiki/united%20states> [image:
united states]  Código do país: US (USA)  Região:
Pennsylvania<http://en.wikipedia.org/wiki/Pennsylvania>
Cidade: Clarks Summit  Código postal: 18411  Código tel.:
+1<http://en.wikipedia.org/wiki/Area_code#United_States>
Longitude: -75.728  Latitude: 41.4486

[2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from '"shuang"
<sip:shuang em IP-Servidor>' failed for '173.242.120.42:5061' - Wrong password

[2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu"
<sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password

[2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu"
<sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password

[2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu"
<sip:chu em IP-servido>' failed for '173.242.120.42:5081' - Wrong password

se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o
invasor permanecia tentando no dia seguinte, agora dei um BAN permanente
nele... rsrs


Em 31 de julho de 2013 12:50, Thiago Anselmo
<thiagoo.anselmoo em gmail.com>escreveu:

> Amigo,
>
> Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o
> fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!!
>
> Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público
> ligado a ele?
>
> me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!!
> Bloqueia tudo e libera apenas para quem você deseja!
>
>
> Em 31 de julho de 2013 12:40, Marcio - Google <marciorp em gmail.com>escreveu:
>
> Exatamente o que o Hudson disse ...
>> Falha no dimensionamento e configuração.
>>
>>
>> [...]'s
>>
>> Marcio
>>
>> ========================================
>> ########### Campanha Ajude o Marcio! ###########
>> http://sosmarcio.blogspot.com.br/
>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>> ========================================
>>
>>
>> Em 31 de julho de 2013 11:06, Hudson Cardoso <hudsoncardoso em hotmail.com>escreveu:
>>
>>    O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa
>>> que o teu firewall não está corretamente
>>> dimensionado, e/ou configurado.
>>>   No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um
>>> guest pede acesso ao diaplan, simplesmente
>>> dou HangUp em todos os Guest.
>>>
>>>
>>> Hudson
>>> (048) 8413-7000
>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>
>>>
>>>
>>> > From: caiopato em gmail.com
>>> > Date: Wed, 31 Jul 2013 11:47:25 -0300
>>> > To: asteriskbrasil em listas.asteriskbrasil.org
>>> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
>>>
>>> >
>>> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP
>>> > 67.207.137.49 (Rackspace Cloud Servers),
>>> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no
>>> iptables.
>>> > Não investiguei a fundo o método do ataque, mas basicamente ele estava
>>> > tentando cavar uma falha no dialplan.
>>> >
>>> > No console apareceu:
>>> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>> > Not a SIP header (tel:1900442075005000)?
>>> > ...
>>> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>> > Not a SIP header (tel:2440900442075005000)?
>>> >
>>> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,
>>> > 39, .... até chegar no 24409 quando eu bloqueei via iptables.
>>> >
>>> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs
>>> gerados.
>>> >
>>> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode
>>> > ser apenas um número teste - se o atacante receber "CONNECT", a
>>> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas
>>> > para outros destinos.
>>> >
>>> > Então vale o eterno conselho: fique de olho - não confie só no
>>> fail2ban.
>>> > _______________________________________________
>>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> > Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> > _______________________________________________
>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> > _______________________________________________
>>> > Para remover seu email desta lista, basta enviar um email em branco
>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
*att*
*Danilo Almeida*
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/9b42fc4b/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil