[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Danilo Almeida
daniloricalmeida em gmail.com
Quarta Julho 31 13:37:12 BRT 2013
surgiu uma dúvida referente a esses ataques, como sou inexperiente nessa
parte de redes, não sei como funciona essas tentativas...
como que eles descobrem o servidor na rede?
como conseguem fazer tantas tentativas de ataque simultaneamente?
se alguém puder me esclarecer um pouco sobre esse assunto eu agradeço...
até mesmo porque, precisamos conhecer as técnicas para nos proteger.
Obrigado
Em 31 de julho de 2013 13:33, Guilherme Rezende
<asterisk em guilherme.eti.br>escreveu:
> Gente, eu não uso Fail2ban. Como esses ataques são oriundos de
> redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são
> BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu
> Asterisk nunca mais exibiram tentativa de logar via sip nos meus
> servidores. Veja o código abaixo que é bem simples, libero apenas as redes
> que estão listadas, depois fecho tudo. Se não tiver necessidade de ter
> alguém externo que logue no seu servidor, o código abaixo resolve.
> Desative todas suas regras de iptables, desative todos os firewall´s e rode
> o script abaixo.
>
> #!/bin/bash
> ipt=/sbin/iptables
> $ipt -F
> $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
> $ipt -A INPUT -i eth2 -p udp -j DROP
>
>
>
> Em 31/07/2013 13:12, Danilo Almeida escreveu:
>
> recebi várias tentativas neste final de semana, porém, o fail2ban
> bloqueiou.
>
> DROP all -- 173.242.120.42 anywhere
> Nome do Host: 173.242.120.42 IP Address: 173.242.120.42 País: United
> States <http://en.wikipedia.org/wiki/united%20states> [image: united
> states] Código do país: US (USA) Região: Pennsylvania<http://en.wikipedia.org/wiki/Pennsylvania>
> Cidade: Clarks Summit Código postal: 18411 Código tel.: +1<http://en.wikipedia.org/wiki/Area_code#United_States>
> Longitude: -75.728 Latitude: 41.4486
>
> [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from
> '"shuang" <sip:shuang em IP-Servidor>' failed for '173.242.120.42:5061' -
> Wrong password
>
> [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu"
> <sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password
>
> [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu"
> <sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password
>
> [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu"
> <sip:chu em IP-servido>' failed for '173.242.120.42:5081' - Wrong password
>
> se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o
> invasor permanecia tentando no dia seguinte, agora dei um BAN permanente
> nele... rsrs
>
>
> Em 31 de julho de 2013 12:50, Thiago Anselmo <thiagoo.anselmoo em gmail.com>escreveu:
>
>> Amigo,
>>
>> Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo
>> o fail2ban não pegou, pois eles não atacam penas 5060, existe outras
>> fomras!!
>>
>> Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público
>> ligado a ele?
>>
>> me diga que podemos realizar formas de fazer com o IPTABLES!! E fica
>> bom!!!
>> Bloqueia tudo e libera apenas para quem você deseja!
>>
>>
>> Em 31 de julho de 2013 12:40, Marcio - Google <marciorp em gmail.com>escreveu:
>>
>> Exatamente o que o Hudson disse ...
>>> Falha no dimensionamento e configuração.
>>>
>>>
>>> [...]'s
>>>
>>> Marcio
>>>
>>> ========================================
>>> ########### Campanha Ajude o Marcio! ###########
>>> http://sosmarcio.blogspot.com.br/
>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>> ========================================
>>>
>>>
>>> Em 31 de julho de 2013 11:06, Hudson Cardoso <hudsoncardoso em hotmail.com>escreveu:
>>>
>>> O Fail2ban não pegou, porque ele ja conseguiu passar, isso
>>>> significa que o teu firewall não está corretamente
>>>> dimensionado, e/ou configurado.
>>>> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um
>>>> guest pede acesso ao diaplan, simplesmente
>>>> dou HangUp em todos os Guest.
>>>>
>>>>
>>>> Hudson (048) 8413-7000
>>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>>
>>>>
>>>>
>>>> > From: caiopato em gmail.com
>>>> > Date: Wed, 31 Jul 2013 11:47:25 -0300
>>>> > To: asteriskbrasil em listas.asteriskbrasil.org
>>>> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
>>>>
>>>> >
>>>> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP
>>>> > 67.207.137.49 (Rackspace Cloud Servers),
>>>> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no
>>>> iptables.
>>>> > Não investiguei a fundo o método do ataque, mas basicamente ele estava
>>>> > tentando cavar uma falha no dialplan.
>>>> >
>>>> > No console apareceu:
>>>> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>>> > Not a SIP header (tel:1900442075005000)?
>>>> > ...
>>>> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>>> > Not a SIP header (tel:2440900442075005000)?
>>>> >
>>>> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,
>>>> > 39, .... até chegar no 24409 quando eu bloqueei via iptables.
>>>> >
>>>> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs
>>>> gerados.
>>>> >
>>>> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode
>>>> > ser apenas um número teste - se o atacante receber "CONNECT", a
>>>> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas
>>>> > para outros destinos.
>>>> >
>>>> > Então vale o eterno conselho: fique de olho - não confie só no
>>>> fail2ban.
>>>> > _______________________________________________
>>>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> > Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> > _______________________________________________
>>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> > _______________________________________________
>>>> > Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> Thiago Anselmo
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> *att*
> *Danilo Almeida*
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
--
*att*
*Danilo Almeida*
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/9b3871ce/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil