[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Guilherme Rezende
asterisk em guilherme.eti.br
Quarta Julho 31 13:33:55 BRT 2013
Gente, eu não uso Fail2ban. Como esses ataques são oriundos de
redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não
são BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do
meu Asterisk nunca mais exibiram tentativa de logar via sip nos meus
servidores. Veja o código abaixo que é bem simples, libero apenas as
redes que estão listadas, depois fecho tudo. Se não tiver necessidade
de ter alguém externo que logue no seu servidor, o código abaixo
resolve. Desative todas suas regras de iptables, desative todos os
firewall´s e rode o script abaixo.
#!/bin/bash
ipt=/sbin/iptables
$ipt -F
$ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -p udp -j DROP
Em 31/07/2013 13:12, Danilo Almeida escreveu:
> recebi várias tentativas neste final de semana, porém, o fail2ban
> bloqueiou.
>
> DROP all -- 173.242.120.42 <tel:173.242.120.42> anywhere
> Nome do Host: 173.242.120.42 <tel:173.242.120.42>
> IP Address: 173.242.120.42 <tel:173.242.120.42>
> País: United States <http://en.wikipedia.org/wiki/united%20states>
> united states
> Código do país: US (USA)
> Região: Pennsylvania <http://en.wikipedia.org/wiki/Pennsylvania>
> Cidade: Clarks Summit
> Código postal: 18411
> Código tel.: +1 <http://en.wikipedia.org/wiki/Area_code#United_States>
> Longitude: -75.728
> Latitude: 41.4486
>
>
> [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from
> '"shuang" <sip:shuang em IP-Servidor>' failed for '173.242.120.42:5061
> <http://173.242.120.42:5061>' - Wrong password
>
> [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from
> '"chu" <sip:chu em IP-servidor>' failed for '173.242.120.42:5081
> <http://173.242.120.42:5081>' - Wrong password
>
> [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from
> '"chu" <sip:chu em IP-servidor>' failed for '173.242.120.42:5081
> <http://173.242.120.42:5081>' - Wrong password
>
> [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from
> '"chu" <sip:chu em IP-servido>' failed for '173.242.120.42:5081
> <http://173.242.120.42:5081>' - Wrong password
>
> se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o
> invasor permanecia tentando no dia seguinte, agora dei um BAN
> permanente nele... rsrs
>
>
> Em 31 de julho de 2013 12:50, Thiago Anselmo
> <thiagoo.anselmoo em gmail.com <mailto:thiagoo.anselmoo em gmail.com>> escreveu:
>
> Amigo,
>
> Já teve outro amigo aqui da lista que teve o mesmo problema, e o
> mesmo o fail2ban não pegou, pois eles não atacam penas 5060,
> existe outras fomras!!
>
> Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP
> público ligado a ele?
>
> me diga que podemos realizar formas de fazer com o IPTABLES!! E
> fica bom!!!
> Bloqueia tudo e libera apenas para quem você deseja!
>
>
> Em 31 de julho de 2013 12:40, Marcio - Google <marciorp em gmail.com
> <mailto:marciorp em gmail.com>> escreveu:
>
> Exatamente o que o Hudson disse ...
> Falha no dimensionamento e configuração.
>
>
> [...]'s
>
> Marcio
>
> ========================================
> ########### Campanha Ajude o Marcio! ###########
> http://sosmarcio.blogspot.com.br/
> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
> ========================================
>
>
> Em 31 de julho de 2013 11:06, Hudson Cardoso
> <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>>
> escreveu:
>
> O Fail2ban não pegou, porque ele ja conseguiu passar,
> isso significa que o teu firewall não está corretamente
> dimensionado, e/ou configurado.
> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e
> quando um guest pede acesso ao diaplan, simplesmente
> dou HangUp em todos os Guest.
>
>
> Hudson
> (048) 8413-7000 <tel:%28048%29%208413-7000>
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> > From: caiopato em gmail.com <mailto:caiopato em gmail.com>
> > Date: Wed, 31 Jul 2013 11:47:25 -0300
> > To: asteriskbrasil em listas.asteriskbrasil.org
> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP
> 67.207.137.49 <tel:67.207.137.49>
>
> >
> > Eu estava sendo vítima de uma tentativa de ataque a
> partir do IP
> > 67.207.137.49 <tel:67.207.137.49> (Rackspace Cloud Servers),
> > Foram 3548 tentativas em 10 minutos até ser bloqueado
> manualmente no iptables.
> > Não investiguei a fundo o método do ataque, mas
> basicamente ele estava
> > tentando cavar uma falha no dialplan.
> >
> > No console apareceu:
> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903
> get_destination: Huh?
> > Not a SIP header (tel:1900442075005000)?
> > ...
> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903
> get_destination: Huh?
> > Not a SIP header (tel:2440900442075005000)?
> >
> > Note que o atacando manteve o sufixo e alterava só o
> prefixo (19, 29,
> > 39, .... até chegar no 24409 quando eu bloqueei via
> iptables.
> >
> > Esse tipo de ataque NÃO É identificado pelo fail2ban
> pois não há logs gerados.
> >
> > O telefone 00442075005000 pertence a um banco (Citi) em
> Londres. Pode
> > ser apenas um número teste - se o atacante receber
> "CONNECT", a
> > tentativa foi bem sucedida e ele descarrega um caminhão
> de chamadas
> > para outros destinos.
> >
> > Então vale o eterno conselho: fique de olho - não confie
> só no fail2ban.
> > _______________________________________________
> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> > Intercomunicadores para acesso remoto via rede IP.
> Conheça em www.Khomp.com <http://www.Khomp.com>.
> > _______________________________________________
> > ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
> R2, ISDN e SS7.
> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> > Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> > _______________________________________________
> > Para remover seu email desta lista, basta enviar um
> email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça
> em www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email
> em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Thiago Anselmo
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> *att*
> *Danilo Almeida*
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/4832f2d3/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil