<div dir="ltr">Eber, :P<br><br>para ser bem sincero isso não é novidade :P ( eu ja conheço a bastante tempo )<br>existem outras tecnicas que são 0days, que estão presente desda versão 1.2.0<br><br>não posso falar muito por outras questões, mas posso dar uma dica, como todo mundo sabe, existem grupos "underground" que ficam estudando inumeras ferramentas para esse fim...<br>
mas onde encontra-los? na terra de ninguem é possivel achar alguns (vulgo efnet)<br>oftc é um outro lugar que possa ser possivel achar, (detalhe importante cuidado ao espor seu host)<br><br>pronto falei demais<br><br clear="all">
<div dir="ltr"><br>--<br><br>Renato dos Santos<br><a href="http://shazaum.wordpress.com" target="_blank">shazaum.wordpress.com</a><br><a href="http://www.beersd.com.br" target="_blank">http://www.beersd.com.br</a><br></div>
<br>
<br><br><div class="gmail_quote">2011/3/15 Eder Souza <span dir="ltr"><<a href="mailto:eder.souza@bsd.com.br">eder.souza@bsd.com.br</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!<br><br>Desta maneira o protocolo SIP sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido!<br>
<br>Com o Ramal na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações !<br><br>Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente !<br><br><a href="http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/" target="_blank">http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/</a><br>
PS: modo primitivo que demonstra como é feito tudo ...<br><br>Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais !<br><br>Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte..<br>
<br><br>Att,<br><br><br>Eng Eder de Souza<br><br><br><div class="gmail_quote">Em 15 de março de 2011 09:22, jose <span dir="ltr"><<a href="mailto:jasanchez@terra.com.br" target="_blank">jasanchez@terra.com.br</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div><div></div><div class="h5">
<div style="padding-right: 10px; padding-left: 10px; padding-top: 15px;" name="Compose message area">
<div><font face="Arial" size="2"></font> </div>
<div>
<div><font face="Arial" size="2">Bom dia Pessoal</font></div>
<div><font face="Arial" size="2"></font> </div>
<div><font face="Arial" size="2">Algum especialista poderia me explicar como esta
acontecendo essa invasao abaixo: Obrigado</font></div>
<div><font face="Arial" size="2"></font> </div>
<div>-- Executing [00442070661000@from-sip-external:1]
NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from
unknown peer to 00442070661000") in new stack
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[00442070661000@from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
"DID=00442070661000") in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[00442070661000@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1")
in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Goto
(from-sip-external,s,1)</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[s@from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658",
"0?from-trunk|00442070661000|1") in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[s@from-sip-external:2] Set("SIP/94.136.54.147-086b6658",
"TIMEOUT(absolute)=15") in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Channel will hangup at
2011-03-15 03:45:15 UTC.</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[s@from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new
stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[s@from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new
stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> == Spawn extension
(from-sip-external, s, 4) exited non-zero on
'SIP/94.136.54.147-086b6658'</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[h@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new
stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[h@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new
stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Executing
[h@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new
stack</span></p>
<p class="MsoNormal"><span lang="EN-US"> -- Goto
(from-sip-external,s,1)</span></p></div></div></div>
<br></div></div>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div>
<br>
<br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>