[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Marcio - Google
marciorp em gmail.com
Quarta Julho 31 13:51:05 BRT 2013
IP público no server?!?!?! My Good, alguém realmente faz uma sandice
dessas???
Acho que vou desencarnar e não terei lido tudo ... rsrsrsrsrsr
No mínimo, mas mínimo mesmo: Internet <> Router <> Firewall <> [NAT] <>
Asterisk
[...]'s
Marcio
========================================
########### Campanha Ajude o Marcio! ###########
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
========================================
Em 31 de julho de 2013 12:37, Danilo Almeida
<daniloricalmeida em gmail.com>escreveu:
> surgiu uma dúvida referente a esses ataques, como sou inexperiente nessa
> parte de redes, não sei como funciona essas tentativas...
>
> como que eles descobrem o servidor na rede?
> como conseguem fazer tantas tentativas de ataque simultaneamente?
>
> se alguém puder me esclarecer um pouco sobre esse assunto eu agradeço...
> até mesmo porque, precisamos conhecer as técnicas para nos proteger.
>
> Obrigado
>
>
> Em 31 de julho de 2013 13:33, Guilherme Rezende <asterisk em guilherme.eti.br
> > escreveu:
>
> Gente, eu não uso Fail2ban. Como esses ataques são oriundos de
>> redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são
>> BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu
>> Asterisk nunca mais exibiram tentativa de logar via sip nos meus
>> servidores. Veja o código abaixo que é bem simples, libero apenas as redes
>> que estão listadas, depois fecho tudo. Se não tiver necessidade de ter
>> alguém externo que logue no seu servidor, o código abaixo resolve.
>> Desative todas suas regras de iptables, desative todos os firewall´s e rode
>> o script abaixo.
>>
>> #!/bin/bash
>> ipt=/sbin/iptables
>> $ipt -F
>> $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
>> $ipt -A INPUT -i eth2 -p udp -j DROP
>>
>>
>>
>> Em 31/07/2013 13:12, Danilo Almeida escreveu:
>>
>> recebi várias tentativas neste final de semana, porém, o fail2ban
>> bloqueiou.
>>
>> DROP all -- 173.242.120.42 anywhere
>> Nome do Host: 173.242.120.42 IP Address: 173.242.120.42 País: United
>> States <http://en.wikipedia.org/wiki/united%20states> [image: united
>> states] Código do país: US (USA) Região: Pennsylvania<http://en.wikipedia.org/wiki/Pennsylvania>
>> Cidade: Clarks Summit Código postal: 18411 Código tel.: +1<http://en.wikipedia.org/wiki/Area_code#United_States>
>> Longitude: -75.728 Latitude: 41.4486
>>
>> [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from
>> '"shuang" <sip:shuang em IP-Servidor>' failed for '173.242.120.42:5061' -
>> Wrong password
>>
>> [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu"
>> <sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password
>>
>> [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu"
>> <sip:chu em IP-servidor>' failed for '173.242.120.42:5081' - Wrong password
>>
>> [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu"
>> <sip:chu em IP-servido>' failed for '173.242.120.42:5081' - Wrong password
>>
>> se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o
>> invasor permanecia tentando no dia seguinte, agora dei um BAN permanente
>> nele... rsrs
>>
>>
>> Em 31 de julho de 2013 12:50, Thiago Anselmo <thiagoo.anselmoo em gmail.com>escreveu:
>>
>>> Amigo,
>>>
>>> Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo
>>> o fail2ban não pegou, pois eles não atacam penas 5060, existe outras
>>> fomras!!
>>>
>>> Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP
>>> público ligado a ele?
>>>
>>> me diga que podemos realizar formas de fazer com o IPTABLES!! E fica
>>> bom!!!
>>> Bloqueia tudo e libera apenas para quem você deseja!
>>>
>>>
>>> Em 31 de julho de 2013 12:40, Marcio - Google <marciorp em gmail.com>escreveu:
>>>
>>> Exatamente o que o Hudson disse ...
>>>> Falha no dimensionamento e configuração.
>>>>
>>>>
>>>> [...]'s
>>>>
>>>> Marcio
>>>>
>>>> ========================================
>>>> ########### Campanha Ajude o Marcio! ###########
>>>> http://sosmarcio.blogspot.com.br/
>>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>>> ========================================
>>>>
>>>>
>>>> Em 31 de julho de 2013 11:06, Hudson Cardoso <hudsoncardoso em hotmail.com
>>>> > escreveu:
>>>>
>>>> O Fail2ban não pegou, porque ele ja conseguiu passar, isso
>>>>> significa que o teu firewall não está corretamente
>>>>> dimensionado, e/ou configurado.
>>>>> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um
>>>>> guest pede acesso ao diaplan, simplesmente
>>>>> dou HangUp em todos os Guest.
>>>>>
>>>>>
>>>>> Hudson (048) 8413-7000
>>>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>>>>
>>>>>
>>>>>
>>>>> > From: caiopato em gmail.com
>>>>> > Date: Wed, 31 Jul 2013 11:47:25 -0300
>>>>> > To: asteriskbrasil em listas.asteriskbrasil.org
>>>>> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP
>>>>> 67.207.137.49
>>>>>
>>>>> >
>>>>> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP
>>>>> > 67.207.137.49 (Rackspace Cloud Servers),
>>>>> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no
>>>>> iptables.
>>>>> > Não investiguei a fundo o método do ataque, mas basicamente ele
>>>>> estava
>>>>> > tentando cavar uma falha no dialplan.
>>>>> >
>>>>> > No console apareceu:
>>>>> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>>>> > Not a SIP header (tel:1900442075005000)?
>>>>> > ...
>>>>> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
>>>>> > Not a SIP header (tel:2440900442075005000)?
>>>>> >
>>>>> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,
>>>>> > 39, .... até chegar no 24409 quando eu bloqueei via iptables.
>>>>> >
>>>>> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há
>>>>> logs gerados.
>>>>> >
>>>>> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode
>>>>> > ser apenas um número teste - se o atacante receber "CONNECT", a
>>>>> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas
>>>>> > para outros destinos.
>>>>> >
>>>>> > Então vale o eterno conselho: fique de olho - não confie só no
>>>>> fail2ban.
>>>>> > _______________________________________________
>>>>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> > Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>> www.Khomp.com.
>>>>> > _______________________________________________
>>>>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>>> > _______________________________________________
>>>>> > Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>>> www.Khomp.com.
>>>>> _______________________________________________
>>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>>> www.Khomp.com.
>>>> _______________________________________________
>>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>>
>>> --
>>> Thiago Anselmo
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> *att*
>> *Danilo Almeida*
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> *att*
> *Danilo Almeida*
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/6872743a/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil