<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content=text/html;charset=iso-8859-1>
<META content="MSHTML 6.00.6000.17093" name=GENERATOR></HEAD>
<BODY id=MailContainerBody
style="PADDING-RIGHT: 10px; PADDING-LEFT: 10px; PADDING-TOP: 15px" leftMargin=0
topMargin=0 CanvasTabStop="true" name="Compose message area">
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>
<DIV><SPAN style="FONT-SIZE: 9pt; COLOR: #355e00; FONT-FAMILY: Verdana"><FONT
color=#000080><FONT face=Arial color=#000000
size=2>Eder</FONT></FONT></SPAN></DIV>
<DIV><SPAN style="FONT-SIZE: 9pt; COLOR: #355e00; FONT-FAMILY: Verdana"><FONT
color=#000080><FONT face=Arial color=#000000
size=2></FONT></FONT></SPAN> </DIV>
<DIV><SPAN style="FONT-SIZE: 9pt; COLOR: #355e00; FONT-FAMILY: Verdana"><FONT
color=#000080><FONT face=Arial color=#000000 size=2>O pior de tudo é que nao tem
tentativa de acesso nos ramais como normalmente é feito, entrou pelo contexto
from-sip-external</FONT></FONT></SPAN></DIV>
<DIV><SPAN style="FONT-SIZE: 9pt; COLOR: #355e00; FONT-FAMILY: Verdana"><FONT
color=#000080><FONT face=Arial color=#000000 size=2>Obrigado a todos pelas
respostas </FONT></FONT></SPAN></DIV>
<DIV><SPAN style="FONT-SIZE: 9pt; COLOR: #355e00; FONT-FAMILY: Verdana"><FONT
color=#000080><FONT face=Arial color=#000000
size=2>abçs</FONT></DIV></FONT></SPAN></DIV>
<DIV style="FONT: 10pt Tahoma">
<DIV><BR></DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=eder.souza@bsd.com.br
href="mailto:eder.souza@bsd.com.br">Eder Souza</A> </DIV>
<DIV><B>Sent:</B> Tuesday, March 15, 2011 9:41 AM</DIV>
<DIV><B>To:</B> <A
title="mailto:asteriskbrasil@listas.asteriskbrasil.org CTRL + Clique para seguir o link"
href="mailto:asteriskbrasil@listas.asteriskbrasil.org">asteriskbrasil@listas.asteriskbrasil.org</A>
</DIV>
<DIV><B>Subject:</B> Re: [AsteriskBrasil] invasao</DIV></DIV></DIV>
<DIV><BR></DIV>É bem provável que que esta sofrendo ataque pela porta UDP
5060(SIP) com envio de informçãoes forjadas para simular registro em seu
servidor Asterisk!<BR><BR>Desta maneira o protocolo SIP sempre da uma
resposta de retorno e assim se consegue informação de ramais válidos dos seu
servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1
à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais
válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de
cada ramal válido!<BR><BR>Com o Ramal na mão e com a senha eles se
conectam em seu servidor e tentam iniciar ligações !<BR><BR>Em meus testes
contrui 1 script que faz algo parecido para achar ramais válidos remotamente
!<BR><BR><A
href="http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/">http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/</A><BR>PS:
modo primitivo que demonstra como é feito tudo ...<BR><BR>Olhe com atenção em
seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias
tentativas de acesso a ramais !<BR><BR>Ainda existe a possibilidade de discar
sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método
ainda é totalmente desconhecido pelos atacantes para a nossa
sorte..<BR><BR><BR>Att,<BR><BR><BR>Eng Eder de Souza<BR><BR><BR>
<DIV class=gmail_quote>Em 15 de março de 2011 09:22, jose <SPAN dir=ltr><<A
href="mailto:jasanchez@terra.com.br">jasanchez@terra.com.br</A>></SPAN>
escreveu:<BR>
<BLOCKQUOTE class=gmail_quote
style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<DIV style="PADDING-RIGHT: 10px; PADDING-LEFT: 10px; PADDING-TOP: 15px"
name="Compose message area">
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>
<DIV><FONT face=Arial size=2>Bom dia Pessoal</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Algum especialista poderia me explicar como esta
acontecendo essa invasao abaixo: Obrigado</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>-- Executing [00442070661000@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from
unknown peer to 00442070661000") in new stack
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[00442070661000@from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
"DID=00442070661000") in new stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[00442070661000@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1")
in new stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Goto
(from-sip-external,s,1)</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[s@from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658",
"0?from-trunk|00442070661000|1") in new stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[s@from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
"TIMEOUT(absolute)=15") in new stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Channel will hangup
at 2011-03-15 03:45:15 UTC.</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[s@from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new
stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[s@from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new
stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> == Spawn extension
(from-sip-external, s, 4) exited non-zero on
'SIP/94.136.54.147-086b6658'</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[h@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new
stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[h@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new
stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Executing
[h@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new
stack</SPAN></P>
<P class=MsoNormal><SPAN lang=EN-US> -- Goto
(from-sip-external,s,1)</SPAN></P></DIV></DIV></DIV><BR>_______________________________________________<BR>KHOMP:
qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<BR>- Hardware com
alta disponibilidade de recursos e qualidade KHOMP<BR>- Suporte técnico local
qualificado e gratuito<BR>Conheça a linha completa de produtos KHOMP em <A
href="http://www.khomp.com.br"
target=_blank>www.khomp.com.br</A><BR>_______________________________________________<BR>Headsets
Plantronics com o melhor preço do Brasil.<BR>Acesse agora <A
href="http://www.voipmania.com.br"
target=_blank>www.voipmania.com.br</A><BR>VOIPMANIA STORE<BR>________<BR>Lista
de discussões AsteriskBrasil.org<BR><A
href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</A><BR><A
href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil"
target=_blank>http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</A><BR>______________________________________________<BR>Para
remover seu email desta lista, basta enviar um email em branco para <A
href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</A><BR></BLOCKQUOTE></DIV><BR>
<P>
<HR>
<P></P>_______________________________________________<BR>KHOMP: qualidade em
placas de E1, GSM, FXS e FXO para Asterisk. <BR>- Hardware com alta
disponibilidade de recursos e qualidade KHOMP<BR>- Suporte técnico local
qualificado e gratuito <BR>Conheça a linha completa de produtos KHOMP em
www.khomp.com.br<BR>_______________________________________________<BR>Headsets
Plantronics com o melhor preço do Brasil.<BR>Acesse agora
www.voipmania.com.br<BR>VOIPMANIA STORE<BR>________<BR>Lista de discussões
AsteriskBrasil.org<BR>AsteriskBrasil@listas.asteriskbrasil.org<BR>http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil<BR>______________________________________________<BR>Para
remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</BODY></HTML>