[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Caio Pato caiopato em gmail.com
Quarta Julho 31 13:55:38 BRT 2013


2013/7/31 Hudson Cardoso <hudsoncardoso em hotmail.com>:
> O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que
> o teu firewall não está corretamente
> dimensionado, e/ou configurado.

Por partes:
1) Eu não uso fail2ban (acho que esqueci de comentar... quis dizer que
mesmo com fail2ban, não havia logs para investigar - só com o tcpdump
eu consegui capturar os pacotes);
2) O atacante não conseguiu fazer nenhum estrago;
3) Não sou provedor e o acesso é muito restrito, então não preciso ter
regras flexíveis - as minhas, por sinal, são radicais: o bloqueio de
vários /8 no iptables sempre que algum engraçadinho tenta descarregar
chamadas.

>   No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest
> pede acesso ao diaplan, simplesmente
> dou HangUp em todos os Guest.

Eu tenho uma regra para guest, e todo mundo que não é autenticado cai
lá, a chamada é aceita e ele é atendido (answer) e depois derrubado
(hanguup).

Como eu havia dito "Esse tipo de ataque NÃO É identificado pelo
fail2ban pois não há logs gerados." Não houve qualquer registro no CDR
nem nos logs físicos - só mesmo no console.

Mais ou menos simples.


Mais detalhes sobre a lista de discussão AsteriskBrasil