<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=PT-BR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Eu já tinha ouvido falar deste fato de hora retornar inexistente hora invalido.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>E por segurança a resposta sempre deveria ser usuário OU senha inválido.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>O que fiz por orientação da lista mesmo </span>alwaysauthreject=yes <span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>no sip.conf<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Ouvi falar do fail to ban mas não implantei.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>A algum tempo implantei um firewall layer 7 em uma RouterBoard se o cara receber um </span>SIP/2.0 403<span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> enviado por uma porta 5060 de alguém da interface interna para qualquer porta saindo pela interface de internet é banido por X horas.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Lembrando a RouterBoard usa iptables e o projeto de firewall 7-layer.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Em um Linux tem que copiar o arquivo da pasta de protocolos do 7-layer e editar ele para conter algo como “sip\/[1-2]\.[0-9].403” não coloque o “^”pra indicar inicio pois a primeira resposta não é 403, costuma ser 401 para indicar que tem que usar senha e como é udp considera o mesmo stream o que torna o segundo pacote uma continuação. Alguém pode melhorar a string colocando um numero fixo de caracteres que existe no primeiro pacote.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> asteriskbrasil-bounces@listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org] <b>On Behalf Of </b>jose<br><b>Sent:</b> terça-feira, 15 de março de 2011 14:01<br><b>To:</b> asteriskbrasil@listas.asteriskbrasil.org<br><b>Subject:</b> Re: [AsteriskBrasil] invasao<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal> <o:p></o:p></p></div><div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>Eder</span><o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>O pior de tudo é que nao tem tentativa de acesso nos ramais como normalmente é feito, entrou pelo contexto from-sip-external</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>Obrigado a todos pelas respostas </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:black'>abçs</span><span style='font-size:9.0pt;font-family:"Verdana","sans-serif";color:navy'><o:p></o:p></span></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'><o:p> </o:p></span></p></div><div><div><p class=MsoNormal style='background:whitesmoke'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:eder.souza@bsd.com.br" title="eder.souza@bsd.com.br">Eder Souza</a> <o:p></o:p></span></p></div><div><p class=MsoNormal style='background:whitesmoke'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>Sent:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Tuesday, March 15, 2011 9:41 AM<o:p></o:p></span></p></div><div><p class=MsoNormal style='background:whitesmoke'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>To:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" title="mailto:asteriskbrasil@listas.asteriskbrasil.org CTRL + Clique para seguir o link">asteriskbrasil@listas.asteriskbrasil.org</a> <o:p></o:p></span></p></div><div><p class=MsoNormal style='background:whitesmoke'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>Subject:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Re: [AsteriskBrasil] invasao<o:p></o:p></span></p></div></div></div><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!<br><br>Desta maneira o protocolo SIP sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido!<br><br>Com o Ramal na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações !<br><br>Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente !<br><br><a href="http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/">http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/</a><br>PS: modo primitivo que demonstra como é feito tudo ...<br><br>Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais !<br><br>Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte..<br><br><br>Att,<br><br><br>Eng Eder de Souza<br><br><o:p></o:p></p><div><p class=MsoNormal>Em 15 de março de 2011 09:22, jose <<a href="mailto:jasanchez@terra.com.br">jasanchez@terra.com.br</a>> escreveu:<o:p></o:p></p><div name="Compose message area"><div><p class=MsoNormal> <o:p></o:p></p></div><div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Bom dia Pessoal</span><o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Algum especialista poderia me explicar como esta acontecendo essa invasao abaixo: Obrigado</span><o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal>-- Executing [00442070661000@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from unknown peer to 00442070661000") in new stack <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [00442070661000@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [00442070661000@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Goto (from-sip-external,s,1)</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [s@from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [s@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Channel will hangup at 2011-03-15 03:45:15 UTC.</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [s@from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [s@from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> == Spawn extension (from-sip-external, s, 4) exited non-zero on 'SIP/94.136.54.147-086b6658'</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [h@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [h@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Executing [h@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span lang=EN-US> -- Goto (from-sip-external,s,1)</span><o:p></o:p></p></div></div></div><p class=MsoNormal><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Headsets Plantronics com o melhor preço do Brasil.<br>Acesse agora <a href="http://www.voipmania.com.br" target="_blank">www.voipmania.com.br</a><br>VOIPMANIA STORE<br>________<br>Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>______________________________________________<br>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p><div class=MsoNormal align=center style='text-align:center'><hr size=2 width="100%" align=center></div><p class=MsoNormal>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. <br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito <br>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br">www.khomp.com.br</a><br>_______________________________________________<br>Headsets Plantronics com o melhor preço do Brasil.<br>Acesse agora <a href="http://www.voipmania.com.br">www.voipmania.com.br</a><br>VOIPMANIA STORE<br>________<br>Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>______________________________________________<br>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p></div><font style="font-size:7.0pt;font-family:Verdana">
                <br/>A informação contida nesta mensagem é confidencial e de propriedade da Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. A Fidelity agradece a sua colaboração.<br/><br/>The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.<br/></font></body></html>