[AsteriskBrasil] RES: RES: Erro ast_sockaddr_resolve

Sexta Junho 26 14:35:22 BRT 2015

Vi nos e-mail anteriores que vc estava com problemas de tentativa de invasão. O Fail2ban não é a melhor opção para se proteger, mas já é alguma coisa. Você tb poderia usar o SecAst que é muito melhor.

Quanto ao Fail2Ban, configura ele, dentro de /etc/fail2ban/jail.conf (dentro de [general] e no [asterisk-iptables]), para barrar na 1ª tentativa (maxretry=1) e manter bloqueado por um tempo monstro (bantime=600000 e findtime=60000) e o ignoreip com os ips da sua rede (ignoreip=127.0.0.1 192.168.1.0/XX).

Agora voltando ao Servidor e ao erro getaddrinfo, caso você queira mudar a porta do servidor, coloque em sip_general_custom.conf a linha bindport=56919 (ou qualquer porta da sua preferencia), lembrando que você terá q mudar TODAS as portas das extensions (sendo ATA, Softphone, App etc). O Asterisk só aceita uma porta padrão e não adianta colocar uma porta diferente para cada ramal.

Se esse ramal que esta unreachable é externo, no mesmo arquivo sip_general_custom.conf coloque as linhas:

externip=IP_EXTERNO

externrefresh=120

localnet=REDE_LOCAL_DO_SERVIDOR (P.EX.: 192.168.1.0/255.255.255.0) (Aqui sim é o IP NATEADO)

Toda alteração feita no arquivo SIP precisa de um reload no Asterisk. Para agilizar e não sem ninguém em ligação, pode ser utilizado um “service asterisk restart” como root do Linux.

Para acesso ao freepbx, aqui vai uma dica: https://www.hostvirtual.com/kb/6419/FreePBX-Direct-Access-Password-Setup-and-Reset.html

De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Junior Grangeiro
Enviada em: sexta-feira, 26 de junho de 2015 08:44
Para: asteriskbrasil em listas.asteriskbrasil.org
Cc: elastixbrasil em googlegroups.com
Assunto: Re: [AsteriskBrasil] RES: Erro ast_sockaddr_resolve

Senhores, bom dia!

Antes de mais nada, obrigado pelo apoio. Não consegui fazer login no FreePBX com nenhum dos pass que eu tenho, tentei ver no mysql mas lá não tem o user admin cadastrado(como achei estranho, modifiquei o pass dele na unha).

No sip_general_additional.conf tem o isso:

faxdetect=yes

vmexten=*97

context=from-sip-external

callerid=Unknown

notifyringing=yes

notifyhold=yes

tos_sip=cs3

tos_audio=ef

tos_video=af41

alwaysauthreject=yes

useragent=FPBX-2.8.1(11.7.0)

disallow=all

allow=ulaw

allow=alaw

allow=gsm

Já no sip_general_custom.conf só tem isso:

allowguest=no

Na central eu uso apenas o ip real: 177.223.50.114.

Att.

2015-06-25 18:38 GMT-03:00 Fabio <biofx em hotmail.com>:

Voce esta usando o Elastix pelo jeito. Qual a versão do seu Elastix?

Pelo que eu entendi ele não consegue conectar pq estão configuradas 2 portas no mesmo IP:

netsock2.c:269 ast_sockaddr_resolve: getaddrinfo("177.223.50.114:5060:56919", "(null)", ...):

Ou voce escolhe a porta 5060 (é a padrão) ou a porta 56919!!

Verifica no GUI do Elastix na seguinte pagina:

Aba PBX -> Unembedded FreePBX -> Settings -> Asterisk SIP Settings

- Em NAT Settings verifique se as configurações estão OK... Lembrando q em External IP não pode ter porta configurada!!!!!!

Verifica o arquivo sip_general_additional.conf se tem algum bindport, caso não tenha e vc queira mudar a porta padrão do asterisk:

Va no arquivo sip_general_custom.conf e coloca bindport=(A porta que vc quer, sem parênteses). P.Ex. bindport=56919

Nesse sip_general_custom.conf vc tb pode colocar os dados para o seu NAT, tipo:

externip=IP_DO_SEU_SERVIDOR

externrefresh=120

localnet=REDE_LOCAL_DO_SERVIDOR (P.EX.: 192.168.1.0/255.255.255.0)

Ou se vc não tem ip fixo, pode usar um FQDN, porem com:

externhost=nomedodnsdinamico.dyndns.org

Com essa confusão de portas, seu peer 148 ficará sempre Unreachable! 

Abraços

Fabio

De: asteriskbrasil-bounces em listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces em listas.asteriskbrasil.org] Em nome de Junior Grangeiro
Enviada em: quarta-feira, 24 de junho de 2015 15:26
Para: asteriskbrasil em listas.asteriskbrasil.org; elastixbrasil em googlegroups.com
Assunto: Re: [AsteriskBrasil] Erro ast_sockaddr_resolve

Senhores, boa tarde!

Também estou tento o seguinte erro:

[2015-06-24 15:19:32] NOTICE[17044]: chan_sip.c:29427 sip_poke_noanswer: Peer '148' is now UNREACHABLE!  Last qualify: 74

[2015-06-24 15:19:36] ERROR[17044]: netsock2.c:269 ast_sockaddr_resolve: getaddrinfo("177.223.50.114:5060:56919", "(null)", ...): Name or service not known

[2015-06-24 15:19:36] WARNING[17044]: chan_sip.c:18048 check_via: Could not resolve socket address for '177.223.50.114:5060:56919'

[2015-06-24 15:19:36] ERROR[17044]: netsock2.c:269 ast_sockaddr_resolve: getaddrinfo("177.223.50.114:5060:56919", "(null)", ...): Name or service not known

[2015-06-24 15:19:36] WARNING[17044]: chan_sip.c:18048 check_via: Could not resolve socket address for '177.223.50.114:5060:56919'

[2015-06-24 15:19:57] NOTICE[17044]: chan_sip.c:23522 handle_response_peerpoke: Peer '148' is now Reachable. (1205ms / 2000ms)

Alguém teria uma luz?

# Não tenho IPv6 Ativo

# fail2ban configurado (Addon Anti-Hacker)

Att.

2015-02-19 9:27 GMT-03:00 Roberto Carlos Batatinha <batatinharc em gmail.com>:

Bom dia a todos!

Consegui bloquear os acessos. Por default o firewall da vivo vem aberto a porta 5060 in e out, foi um puta trampo achar, mas encontrei e tirei as entradas. 

Agora vou mudar as portas default 5060 para garantir.

Algumas coisas que fiz e não surgiram efeito: 

iptables não barrou, cadastrei conforme orientado nos e-mails, mas sem sucesso.

alterei o SIP.conf para permitir apenas da rede interna e mesmo assim continuei recebendo os ataques.

Vou estudar um pouco mais sobre iptables, fail2ban e os parametros SIP.

Quero agradecer a todos pela ajudar.

Abraços,

batata

No dia 18 de fevereiro de 2015 às 21:18, Sylvio Jollenbeck <sylvio.jollenbeck em gmail.com> escreveu:

Roberto, boa noite.

Passei o dia em cliente e não vi mais os e-mails, você continua com problema ? Ainda precisa de ajuda ? Se você quiser posso acessar a sua maquina via TV e te dar um apoio, odeio invasores/esse tipo de coisa....

Abs, 

Em 18 de fevereiro de 2015 19:43, dbbrito <dborges100 em gmail.com> escreveu:

já desabilitou o ipv6?

Em 18 de fevereiro de 2015 18:33, Junior <ftartari em gmail.com> escreveu:

Eu não deixo os meus escutando a porta padrão 5060

Existem muitos BOTS que ficam varrendo os IPS de internet em busca de hosts respondendo na porta 5060. Após identificar uma resposta ele investe mais tempo tentando força bruta com algumas wordlists como extensão e senha.

Não importa quão bem você configure o firewall, mesmo dropando todos os pacotes ainda tem um consumo de rede/internet, e processamento caso o firewall seja na mesma máquina.

Já tive um caso de um asterisk estar com mais de 100 bots em cima dele tentando... Já era praticamente um DDOS já que saturava a conexão de internet.

A melhor coisa é não rodar na porta padrão... assim quando um bot testar a porta 5060 no seu IP e não tiver resposta, já passa pra outro e não fica incomodando.

Também é recomendável trocar por porta não padrão a porta do SSH, apache, FTP, VPN, BD entre outras.

Um grande abraço

Em 18 de fevereiro de 2015 17:20, Roberto Carlos Batatinha <batatinharc em gmail.com> escreveu:

Os IPs que peguei no log do asterisk e bloqueie no iptables:

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

DROP       all  --  37.8.77.1            anywhere

DROP       all  --  82.205.14.237        anywhere

DROP       all  --  37.8.77.230          anywhere

DROP       all  --  176.106.46.38        anywhere

DROP       all  --  37.75.213.225        anywhere

DROP       all  --  188.161.247.140      anywhere

DROP       all  --  5.133.25.107         anywhere

DROP       all  --  host.colocrossing.com  anywhere

DROP       all  --  195-154-41-168.rev.poneytelecom.eu  anywhere

DROP       all  --  212-83-135-68.rev.poneytelecom.eu  anywhere

Anexo regra firewall. O asterisk é o ip 192.168.1.12 que esta apenas na regra de saída. 

No dia 18 de fevereiro de 2015 às 15:34, Daniel Zanutti <daniel.zanutti em gmail.com> escreveu:

Batata

Tem alguma porta aberta aí, revisa o firewall. Talvez um DMZ?

Abs

2015-02-18 14:23 GMT-02:00 Roberto Carlos Batatinha <batatinharc em gmail.com>:

Claudio,

Peguei os logs do asterisk e faz uma semana que estão na tentativa e erro. 

Como só tenho um ramal: 7000 era o único comprometido e como não tenho link para saída não completaram nenhuma chamada, mas tentara. Creio que conseguiram pegar o 7000 e efetuar chamada, porque ele não estava funcionando,  troquei a senha e voltei a fazer chamada interna, mas as tentativas de registros continuam e são 3 ips diferentes.

Outra coisa que identifiquei no log é o contexto default, como não tenho este contexto, não conseguiram. 

O firewall que tenho é o da própria vivo, fechei todas as portas, mas continua.

No dia 18 de fevereiro de 2015 às 13:34, Claudio Eden <claudio.eden em gmail.com> escreveu:

Pelos registro de senha errada seguidamente, que é uma das caracteristicas de tentativa de invasão, eu suponho que o invasor tenha conseguido alterar seu arquivo hosts (/etc/hosts) o que está gerando esse outro erro (getaddrinfo). 

Reveja as configurações do /etc/hosts (veja quando foi alterado a ultima vez e se o conteúdo está correto). Em seguida, como já dito pelo Sylvio, veja seu firewall e de uma atenção a configuração SIP para ver se já não há nenhum ramal comprometido (veja registros - CDR - de ligações estranhas, IP de conexão do ramal, etc).

Atenciosamente,

Cláudio Éden  

Consultor de TI  |  dCAA  |  MSDST  |  ITIL 
+55 85 8972-1842 <tel:%2B55%2085%208972-1842>  
claudio.eden em gmail.com   /   claudio em eden.com.br

  <https://docs.google.com/uc?export=download&id=0B7kQ7o32GSoeTUstbzQyVHZlSjA&revid=0B7kQ7o32GSoeY1hQSFp2aUdTaDBpWFRWRDhkUlMzL3hVOWs0PQ> 

Em 18 de fevereiro de 2015 12:06, Sylvio Jollenbeck <sylvio.jollenbeck em gmail.com> escreveu:

Isso está com cara de ser uma tentativa de invasão. 

Desative o ipv6.
Ative o firewall.
Ajuste suas configurações de sip.

Em 18/02/2015 12:37, "Roberto Carlos Batatinha" <batatinharc em gmail.com> escreveu:

Pessoal, boa tarde!

Estou com um erro e não sei o que pode ser. Não foi feita nenhuma mudança e parou de funcionar.

Ao tentar fazer alguma chamada, mesmo entre ramais, recebo o seguinte:

[Feb 18 11:51:43] ERROR[24386]: netsock2.c:269 ast_sockaddr_resolve: getaddrinfo("fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd", "5060", ...): Address family for hostname not supported

[Feb 18 11:51:43] WARNING[24386]: chan_sip.c:18044 check_via: Could not resolve socket address for '[fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd]:5060'

E depois fico recebendo:

[Feb 18 11:52:11] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from '"5123" <sip:5123 em 192.168.1.12:5060>' failed for '212.83.135.68:5062' - Wrong password

[Feb 18 11:52:18] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from '"3223" <sip:3223 em 192.168.1.12:5060>' failed for '212.83.135.68:5144' - Wrong password

[Feb 18 11:52:24] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from '"424" <sip:424 em 192.168.1.12:5060>' failed for '212.83.135.68:5066' - Wrong password

[Feb 18 11:52:25] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from '"2623" <sip:2623 em 192.168.1.12:5060>' failed for '212.83.135.68:5112' - Wrong password

Desde já obrigado.

batata

_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicadores para acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
Construa soluções de PABX IP com produtos DigiVoice - visite  www.digivoice.com.br
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 

--------------------------------------------------------------------

Esta mensagem contém informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Comunicações pela Internet não podem ser garantidas quanto à pontualidade, segurança ou inexistência de erros ou vírus. O remetente por esta razão não se responsabiliza por qualquer erro, omissão ou mesmo opiniões e declarações contidas no conteúdo desta mensagem.

This E-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return E-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors, omissions, opinions or declarations contained in this E-mail.

_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicadores para acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
Construa soluções de PABX IP com produtos DigiVoice - visite  www.digivoice.com.br
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 

Sylvio Jollenbeck

skype: sylvio.jollenbeck
www.hosannatecnologia.com.br <http://www.hosannatecnologia.com.br/> 
  <http://www.hosannatecnologia.com.br/pixel.fw.png> 

_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
Intercomunicadores para acesso remoto via rede IP e telefones IP
Conheça todo o portfólio em www.Khomp.com
_______________________________________________
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
Construa soluções de PABX IP com produtos DigiVoice - visite  www.digivoice.com.br
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 

Francisco Grangeiro D. Júnior

BSc. Candidate in Information Systems

Cel.: (84) 9905-3368 <tel:%2884%29%209905-3368> 

_______________________________________________
WORKOFFEE KHOMP: em Junho serão 2 edições do workshop
gratuito da Khomp:  dia 11 em Brasília, e dia 18 em Curitiba
Aproveite e conheça os lançamentos: EBS Server PRO e UMG 100
Garanta sua vaga e saiba mais em: www.workoffee.com.br
_______________________________________________
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
Construa soluções de PABX IP com produtos DigiVoice - visite  www.digivoice.com.br
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org

-- 

Francisco Grangeiro D. Júnior

BSc. Candidate in Information Systems

Cel.: (84) 9905-3368

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20150626/e91f6ff4/attachment-0001.html>