<div dir="ltr">Eber, :P<br><br>para ser bem sincero isso não é novidade :P ( eu ja conheço a bastante tempo )<br>existem outras tecnicas que são 0days, que estão presente desda versão 1.2.0<br><br>não posso falar muito por outras questões, mas posso dar uma dica, como todo mundo sabe, existem grupos &quot;underground&quot; que ficam estudando inumeras ferramentas para esse fim...<br>

mas onde encontra-los? na terra de ninguem é possivel achar alguns (vulgo efnet)<br>oftc é um outro lugar que possa ser possivel achar, (detalhe importante cuidado ao espor seu host)<br><br>pronto falei demais<br><br clear="all">

<div dir="ltr"><br>--<br><br>Renato dos Santos<br><a href="http://shazaum.wordpress.com" target="_blank">shazaum.wordpress.com</a><br><a href="http://www.beersd.com.br" target="_blank">http://www.beersd.com.br</a><br></div>

<br>
<br><br><div class="gmail_quote">2011/3/15 Eder Souza <span dir="ltr">&lt;<a href="mailto:eder.souza@bsd.com.br">eder.souza@bsd.com.br</a>&gt;</span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!<br><br>Desta maneira o protocolo SIP  sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido!<br>


<br>Com o Ramal  na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações !<br><br>Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente !<br><br><a href="http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/" target="_blank">http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/</a><br>


PS: modo primitivo que demonstra como é feito tudo ...<br><br>Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais !<br><br>Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte..<br>


<br><br>Att,<br><br><br>Eng Eder de Souza<br><br><br><div class="gmail_quote">Em 15 de março de 2011 09:22, jose <span dir="ltr">&lt;<a href="mailto:jasanchez@terra.com.br" target="_blank">jasanchez@terra.com.br</a>&gt;</span> escreveu:<br>


<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div><div></div><div class="h5">



<div style="padding-right: 10px; padding-left: 10px; padding-top: 15px;" name="Compose message area">
<div><font face="Arial" size="2"></font> </div>
<div>
<div><font face="Arial" size="2">Bom dia  Pessoal</font></div>
<div><font face="Arial" size="2"></font> </div>
<div><font face="Arial" size="2">Algum especialista poderia me explicar como esta 
acontecendo essa invasao abaixo: Obrigado</font></div>
<div><font face="Arial" size="2"></font> </div>
<div>-- Executing [00442070661000@from-sip-external:1] 
NoOp(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;Received incoming SIP connection from 
unknown peer to 00442070661000&quot;) in new stack 
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[00442070661000@from-sip-external:2] Set(&quot;SIP/94.136.54.147-086b6658&quot;, 
&quot;DID=00442070661000&quot;) in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[00442070661000@from-sip-external:3] Goto(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;s|1&quot;) 
in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Goto 
(from-sip-external,s,1)</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[s@from-sip-external:1] GotoIf(&quot;SIP/94.136.54.147-086b6658&quot;, 
&quot;0?from-trunk|00442070661000|1&quot;) in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[s@from-sip-external:2] Set(&quot;SIP/94.136.54.147-086b6658&quot;, 
&quot;TIMEOUT(absolute)=15&quot;) in new stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Channel will hangup at 
2011-03-15 03:45:15 UTC.</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[s@from-sip-external:3] Answer(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;&quot;) in new 
stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[s@from-sip-external:4] Wait(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;2&quot;) in new 
stack</span></p>
<p class="MsoNormal"><span lang="EN-US">  == Spawn extension 
(from-sip-external, s, 4) exited non-zero on 
&#39;SIP/94.136.54.147-086b6658&#39;</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[h@from-sip-external:1] NoOp(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;Hangup&quot;) in new 
stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[h@from-sip-external:2] Set(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;DID=s&quot;) in new 
stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Executing 
[h@from-sip-external:3] Goto(&quot;SIP/94.136.54.147-086b6658&quot;, &quot;s|1&quot;) in new 
stack</span></p>
<p class="MsoNormal"><span lang="EN-US">    -- Goto 
(from-sip-external,s,1)</span></p></div></div></div>
<br></div></div>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>

</div>
<br>
<br>_______________________________________________<br>
KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>
Headsets Plantronics com o melhor preço do Brasil.<br>
Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>
VOIPMANIA STORE<br>
________<br>
Lista de discussões AsteriskBrasil.org<br>
<a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br>
<a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>

<br></div>