[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Marcio - Google marciorp em gmail.com
Quarta Julho 31 16:32:15 BRT 2013 

Grande Keller! Muito bem colocado e explicado!

Dá mesma forma que um monte roda como *root*, deve ter mais ainda usando
contexto *default* e mascara *.* e *!*.



[...]'s

Marcio

========================================
########### Campanha Ajude o Marcio! ###########
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
========================================


Em 31 de julho de 2013 15:13, Alex Sander <sanderdabio em globo.com> escreveu:

> Pois é Caio, na minha parca experiência, sempre aprendi que as melhores
> soluções são as mais simples... Vou montar um server de 10 ramais para o
> cliente e explicar que vai me pagar uns 7K de servidor e serviços e mais
> 100K de equipamentos de segurança de redes...
>
> Att,
>
>
> Em 31 de julho de 2013 15:55, Caio Pato <caiopato em gmail.com> escreveu:
>
> Fico contente que temos na lista pessoas que gostam de ensinar de
>> forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos
>> comentários pontuais.
>>
>> 2013/7/31 Marcio - Google <marciorp em gmail.com>:
>> > Já ouviu falar de Cisco, Juniper, WatchGuard???
>>
>> Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho
>> de séculos em séculos :P
>> Serve a SonicWall? Fortinet? Check Point?
>>
>> > Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de
>> > médio-porte pra cima, no minimo seu "servidor" teria caído. Só 6
>> tentativas
>> > por segundo não é nada, e mostra que o cracker que tentou é um micreiro.
>>
>> Bom, você com certeza entende muito de segurança mas pouco de ataques.
>> E isso deve ser bom, porque quem se protege não precisa se preocupar
>> com ataques - muito menos conhecê-los, não é mesmo?
>>
>> Não sei se você sabe mas logo após uma invasão você sabe o que o
>> cracker/hacker/lammer faz? Consertar a falha para que ninguém use a
>> mesma brecha. Afinal, ninguém quer dividir a invasão com outro
>> scriptkiddie.
>>
>> E por que você acha que algum atacante iria querer DERRUBAR A SUA
>> MÁQUINA? Qual a LÓGICA em derrubar?
>>
>> Pense um pouquinho... só por dois segundos: se o cara enviar N mil
>> conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade,
>> como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua
>> máquina. São antagônicos.
>>
>> Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar
>> um servidor o qual você pretende invadir? Estou falando de INVASÃO,
>> não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma
>> palestra na penúltima reunião do GTS de um grupo de segurança que
>> investigou , esse povo que faz descarga de VoIP são muito bem
>> organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que
>> querem usar. É muita, muita burrice fazer isso. Usando suas sábias
>> palavras, "oh my god, uma sandice" derrubar algo que você quer usar.
>> Por isso, um ataque micro - ou nano - é o mais recomendado.
>>
>> > Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do
>> > Asterisk pode ser facilmente jogado para um arquivo e virar log para
>> > analise.
>>
>> E? E dai? O que adianta um log inválido? Com poucas informações ou
>> informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que
>> vem nos ataques de brute force são geralmente spoofados...
>>
>> Não adianta gravar logs inúteis. O IP que aparece na maioria dos
>> ataques (SIP HEADER) é spoofado.
>>
>> Não pesquisei a fundo mas não me lembro que o asterisk consiga
>> capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula
>> para todos nós que ainda estamos começando na vida, Você poderia
>> compartlhar o seu script para pegar o IP verdadeiro da conexão
>> TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar
>> no SIP_HEADER, que, como eu disse, pode ser spoofado.
>>
>> Muito obrigado por sua ajuda!
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/1ccfdf45/attachment-0001.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil