<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
pre
        {mso-style-priority:99;
        mso-style-link:"Pré-formatação HTML Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Texto de balão Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        color:black;}
span.Pr-formataoHTMLChar
        {mso-style-name:"Pré-formatação HTML Char";
        mso-style-priority:99;
        mso-style-link:"Pré-formatação HTML";
        font-family:"Consolas","serif";
        color:black;}
span.EstiloDeEmail20
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.TextodebaloChar
        {mso-style-name:"Texto de balão Char";
        mso-style-priority:99;
        mso-style-link:"Texto de balão";
        font-family:"Tahoma","sans-serif";
        color:black;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=PT-BR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Pode editar Diretamente nas configurações do fail2ban em /etc/fail2ban. Procure no arquivo jail.conf a TAG sendmail-whois[name=XXXXXXXXX, dest=e-mail_do_destinatario, sender=e-mail_do_remetente]<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Basta vc editar ao seu gosto. Em nosso caso inserimos no name=nome ou IP do servidor, então sabemos qual máquina houve a tentativa de invasão.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Atenciosamente;<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><p class=MsoNormal><b><i><span style='font-family:"Calibri","sans-serif";color:#943634'>Fernando de Meira Lins</span></i></b><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#943634'> </span></b><b><span style='font-size:10.0pt;font-family:"Calibri","sans-serif";color:#943634'><o:p></o:p></span></b></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p></div><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>De:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> asteriskbrasil-bounces@listas.asteriskbrasil.org [mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org] <b>Em nome de </b>Wagner<br><b>Enviada em:</b> segunda-feira, 30 de janeiro de 2012 12:09<br><b>Para:</b> asteriskbrasil@listas.asteriskbrasil.org<br><b>Assunto:</b> Re: [AsteriskBrasil] RES: Invasão<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Aproveitando o tópico, estou instalando o Fail2Ban em alguns clientes, esta funcionando perfeitamente o iptables esta banindo as tentativas de invasões e estou recebendo os e-mails das verificações do Fail2Ban. Mas me veio a pergunta o que mais é possível fazer com o Fail2Ban, por exemplo customizar os e-mail's das verificações de banimento assim posso saber de qual cliente veio o e-mail, tentei editar o mail.conf e o mail-whois.conf e não obtive sucesso.<br><br>Alguém sabe como modificar isto?<br><br>Em 30-01-2012 11:01, Thiago Bruni Tawil escreveu: <o:p></o:p></p><p>na vdd o fail2ban vc instala no SO, ele tambem analiza outris logs, voce soh precisa definir as regras que ele vai seguir para bloquear...<o:p></o:p></p><div><p class=MsoNormal>Em 30/01/2012 08:50, &quot;Alejandro Flores&quot; &lt;<a href="mailto:alejandrorflores@gmail.com">alejandrorflores@gmail.com</a>&gt; escreveu:<o:p></o:p></p><p class=MsoNormal>Marco,<br><br>A senha do freepbx ( Console do Elastix -&gt; PBX -&gt; Unembed Freepbx )<br>você não altera na instalação, uma falha grave que ja foi corrigida<br>nas versões superiores.<br>O fail2ban é no asterisk, pois ele fica analisando os logs e<br>verificando as falhas de conexão, para quando detectar, bloquear<br>imediatamente o acesso.<br><br>Abraço!<br><br>&gt; Bom dia Alejandro.<br>&gt; As senhas pré-definidas já foram alteradas na instalação.<br>&gt; A senha é forte, com números, letras e caracteres especiais.<br>&gt; Realmente a porta 443 estava aberta (fechei), mas a 80 fechada.<br>&gt; Os ramais foram configurados com o mesmo padrão de senhas.<br>&gt; Quando ao fail2ban, devo instalá-lo no meu firewall ou no asterisk?<br>&gt;<br>&gt; Obrigado<br>&gt;<br>&gt; Marco Antonio<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; -----Mensagem original-----<br>&gt; De: <a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">asteriskbrasil-bounces@listas.asteriskbrasil.org</a><br>&gt; [mailto:<a href="mailto:asteriskbrasil-bounces@listas.asteriskbrasil.org">asteriskbrasil-bounces@listas.asteriskbrasil.org</a>] Em nome de<br>&gt; Alejandro Flores<br>&gt; Enviada em: segunda-feira, 30 de janeiro de 2012 09:16<br>&gt; Para: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org">asteriskbrasil@listas.asteriskbrasil.org</a><br>&gt; Assunto: Re: [AsteriskBrasil] Invasão<br>&gt;<br>&gt; Marco,<br>&gt;<br>&gt; O elastix 1.6 utiliza senhas pré-configuradas, ou seja, todo mundo<br>&gt; sabe quais são.<br>&gt; Mesmo que você tenha alterado a senha do admin da console, ainda tem a<br>&gt; senha do freepbx, que provavelmente é por onde eles se aproveitaram.<br>&gt; Sem falar nas vulnerabilidades da versão ja difundidas.<br>&gt; Sugiro que você feche imediatamente o acesso externo a console do<br>&gt; elastix, portas 80/tcp e 443/tcp.<br>&gt; Utilize o fail2ban pra bloquear os ips das tentativas inválidas de conexão.<br>&gt; Use senhas fortes nos ramais.<br>&gt; Enfim, tem muitas dicas de segurança na lista, da uma olhada no histórico.<br>&gt;<br>&gt; Abraço!<br>&gt;<br>&gt;<br>&gt; 2012/1/30 Marco Antonio (TRG Tecnologia) &lt;<a href="mailto:marco@trg.com.br">marco@trg.com.br</a>&gt;:<br>&gt;&gt; Bom dia Lista...<br>&gt;&gt;<br>&gt;&gt; Tenho um Elastix 1.6.3 e não com muita freqüência, esporadicamente vejo<br>&gt; que<br>&gt;&gt; criam ramais IAX e SIP.<br>&gt;&gt;<br>&gt;&gt; IAX não mais pois fechei as portas, porem como preciso de SIP externo,<br>&gt;&gt; continuam em cima.<br>&gt;&gt;<br>&gt;&gt; Como devo fazer para bloquear as invasões?<br>&gt;&gt;<br>&gt;&gt; Preciso ter os ramais externos. Não consigo fazer por VPN pois<br>&gt; externamente<br>&gt;&gt; são apenas aparelhos IP&#8217;s.<br>&gt;&gt;<br>&gt;&gt; Alguma dica?<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; Abraços<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; Marco Antonio<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; _______________________________________________<br>&gt;&gt; KHOMP ::: External Series Experience :::<br>&gt;&gt; Um novo conceito para o mercado de aplicações que vai<br>&gt;&gt; fazer você pensar fora da caixa. Aguarde este lançamento<br>&gt;&gt; _______________________________________________<br>&gt;&gt; DIGIVOICE: Lider no mercado de placas para Asterisk<br>&gt;&gt; Único fabricante com Centro de Treinamento especializado.<br>&gt;&gt; LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>&gt;&gt; <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>&gt;&gt; ________<br>&gt;&gt; YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do<br>&gt;&gt; mercado.<br>&gt;&gt; email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>&gt;&gt; ______________________________________________<br>&gt;&gt; Para remover seu email desta lista, basta enviar um email em branco para<br>&gt;&gt; <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>&gt;<br>&gt;<br>&gt;<br>&gt; --<br>&gt;<br>&gt; Alejandro Flores<br>&gt; <a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br>&gt; _______________________________________________<br>&gt; KHOMP ::: External Series Experience :::<br>&gt; Um novo conceito para o mercado de aplicações que vai<br>&gt; fazer você pensar fora da caixa. Aguarde este lançamento<br>&gt; _______________________________________________<br>&gt; DIGIVOICE: Lider no mercado de placas para Asterisk<br>&gt; Único fabricante com Centro de Treinamento especializado.<br>&gt; LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>&gt; <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>&gt; ________<br>&gt; YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do<br>&gt; mercado.<br>&gt; email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>&gt; ______________________________________________<br>&gt; Para remover seu email desta lista, basta enviar um email em branco para<br>&gt; <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>&gt;<br>&gt; _______________________________________________<br>&gt; KHOMP ::: External Series Experience :::<br>&gt; Um novo conceito para o mercado de aplicações que vai<br>&gt; fazer você pensar fora da caixa. Aguarde este lançamento<br>&gt; _______________________________________________<br>&gt; DIGIVOICE: Lider no mercado de placas para Asterisk<br>&gt; Único fabricante com Centro de Treinamento especializado.<br>&gt; LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br>&gt; <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>&gt; ________<br>&gt; YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>&gt; email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>&gt; ______________________________________________<br>&gt; Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br><br><br><br>--<br><br>Alejandro Flores<br><a href="http://www.triforsec.com.br/" target="_blank">http://www.triforsec.com.br/</a><br>_______________________________________________<br>KHOMP ::: External Series Experience :::<br>Um novo conceito para o mercado de aplicações que vai<br>fazer você pensar fora da caixa. Aguarde este lançamento<br>_______________________________________________<br>DIGIVOICE: Lider no mercado de placas para Asterisk<br>Único fabricante com Centro de Treinamento especializado.<br>LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO.<br><a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a> ou (11)3016-5200.<br>________<br>YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | (11) 5503-1011<br>______________________________________________<br>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></p></div><p class=MsoNormal><br><br><br><o:p></o:p></p><pre>_______________________________________________<o:p></o:p></pre><pre>KHOMP ::: External Series Experience :::<o:p></o:p></pre><pre>Um novo conceito para o mercado de aplicações que vai<o:p></o:p></pre><pre>fazer você pensar fora da caixa. Aguarde este lançamento<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>DIGIVOICE: Lider no mercado de placas para Asterisk<o:p></o:p></pre><pre>Único fabricante com Centro de Treinamento especializado.<o:p></o:p></pre><pre>LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. <o:p></o:p></pre><pre><a href="http://www.digivoice.com.br">www.digivoice.com.br</a> ou (11)3016-5200.<o:p></o:p></pre><pre>________<o:p></o:p></pre><pre>YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<o:p></o:p></pre><pre>email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br">www.commlogik.com.br</a> | (11) 5503-1011<o:p></o:p></pre><pre>______________________________________________<o:p></o:p></pre><pre>Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><o:p></o:p></pre></div></body></html>