<div dir="ltr">recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou.<div><br></div><div>DROP all -- <a href="tel:173.242.120.42" value="+17324212042" target="_blank">173.242.120.42</a> anywhere<br>
<table cellpadding="4" cellspacing="0" border="0" height="300" width="297"><tbody><tr><td align="right">Nome do Host:</td><td align="left" width="198"><a href="tel:173.242.120.42" value="+17324212042" target="_blank">173.242.120.42</a></td>
</tr>
<tr>
<td align="right">IP Address:</td>
<td align="left"><a href="tel:173.242.120.42" value="+17324212042" target="_blank">173.242.120.42</a></td>
</tr>
<tr>
<td align="right">País:</td>
<td align="left"><a href="http://en.wikipedia.org/wiki/united%20states" target="_blank"> United States</a> <img src="http://www.geoiptool.com/flags/us.gif" alt="united states" align="absmiddle"></td>
</tr>
<tr>
<td align="right">Código do país:</td>
<td align="left">US (USA)</td>
</tr>
<tr>
<td align="right">Região:</td>
<td align="left"><a href="http://en.wikipedia.org/wiki/Pennsylvania" target="_blank">Pennsylvania</a></td>
</tr>
<tr>
<td align="right">Cidade:</td>
<td align="left">Clarks Summit</td>
</tr>
<tr>
<td align="right">Código postal:</td>
<td align="left">18411</td>
</tr>
<tr>
<td align="right">Código tel.:</td>
<td align="left"><a href="http://en.wikipedia.org/wiki/Area_code#United_States" target="_blank">+1</a></td>
</tr>
<tr>
<td align="right">Longitude:</td>
<td align="left">-75.728</td>
</tr>
<tr>
<td align="right">Latitude:</td>
<td align="left">41.4486<br></td></tr></tbody></table></div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">[2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from '"shuang" <sip:shuang@IP-Servidor>' failed for '<a href="http://173.242.120.42:5061">173.242.120.42:5061</a>' - Wrong password</div>
<div><br></div><div><div>[2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servidor>' failed for '<a href="http://173.242.120.42:5081">173.242.120.42:5081</a>' - Wrong password</div>
</div><div><br></div><div>[2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servidor>' failed for '<a href="http://173.242.120.42:5081">173.242.120.42:5081</a>' - Wrong password<br>
</div><div><br></div><div>[2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servido>' failed for '<a href="http://173.242.120.42:5081">173.242.120.42:5081</a>' - Wrong password</div>
<div class="gmail_extra"><br></div>se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs</div><div class="gmail_extra">
<br></div><div class="gmail_extra"><br><div class="gmail_quote">Em 31 de julho de 2013 12:50, Thiago Anselmo <span dir="ltr"><<a href="mailto:thiagoo.anselmoo@gmail.com" target="_blank">thiagoo.anselmoo@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Amigo,<div><br></div><div>Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! <br>
<br>Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele?</div>
<div><br></div><div>me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!!</div><div>Bloqueia tudo e libera apenas para quem você deseja!</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
Em 31 de julho de 2013 12:40, Marcio - Google <span dir="ltr"><<a href="mailto:marciorp@gmail.com" target="_blank">marciorp@gmail.com</a>></span> escreveu:<div><div class="h5"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div dir="ltr"><div style="font-family:arial,helvetica,sans-serif">Exatamente o que o Hudson disse ...</div><div style="font-family:arial,helvetica,sans-serif">Falha no dimensionamento e configuração.</div>
</div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><br>[...]'s<br><br>Marcio<div><br></div><div><div style="font-family:arial;font-size:small">========================================</div><div style="font-family:arial;font-size:small">
########### Campanha Ajude o Marcio! ###########</div><div style="font-family:arial;font-size:small"><a href="http://sosmarcio.blogspot.com.br/" style="color:rgb(17,85,204)" target="_blank">http://sosmarcio.blogspot.com.br/</a></div>
<div style="font-family:arial;font-size:small"><a href="http://www.vakinha.com.br/VaquinhaP.aspx?e=195793" style="color:rgb(17,85,204)" target="_blank">http://www.vakinha.com.br/VaquinhaP.aspx?e=195793</a><br></div><div style="font-family:arial;font-size:small">
========================================</div></div></div></div>
<br><br><div class="gmail_quote">Em 31 de julho de 2013 11:06, Hudson Cardoso <span dir="ltr"><<a href="mailto:hudsoncardoso@hotmail.com" target="_blank">hudsoncardoso@hotmail.com</a>></span> escreveu:<div><div>
<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div><div dir="ltr"><font face="Arial" size="3" style="font-size:12pt"> O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente</font><div><font face="Arial" size="3" style="font-size:12pt">dimensionado, e/ou configurado.</font></div>
<div><font face="Arial" size="3" style="font-size:12pt"> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente </font></div><div><font face="Arial" size="3" style="font-size:12pt">dou HangUp em todos os Guest.<br>
</font><br><br><pre style="line-height:17px;color:rgb(42,42,42);white-space:normal">Hudson <br><a href="tel:%28048%29%208413-7000" value="+554884137000" target="_blank">(048) 8413-7000</a><br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre>
<br><br><div>> From: <a href="mailto:caiopato@gmail.com" target="_blank">caiopato@gmail.com</a><br>> Date: Wed, 31 Jul 2013 11:47:25 -0300<br>> To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
> Subject: [AsteriskBrasil] Ataque massivo a partir do IP <a href="tel:67.207.137.49" value="+556720713749" target="_blank">67.207.137.49</a><div><div><br>> <br>> Eu estava sendo vítima de uma tentativa de ataque a partir do IP<br>
> <a href="tel:67.207.137.49" value="+556720713749" target="_blank">67.207.137.49</a> (Rackspace Cloud Servers),<br>> Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables.<br>> Não investiguei a fundo o método do ataque, mas basicamente ele estava<br>
> tentando cavar uma falha no dialplan.<br>> <br>> No console apareceu:<br>> Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?<br>> Not a SIP header (tel:1900442075005000)?<br>> ...<br>
> Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?<br>> Not a SIP header (tel:2440900442075005000)?<br>> <br>> Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,<br>> 39, .... até chegar no 24409 quando eu bloqueei via iptables.<br>
> <br>> Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados.<br>> <br>> O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode<br>> ser apenas um número teste - se o atacante receber "CONNECT", a<br>
> tentativa foi bem sucedida e ele descarrega um caminhão de chamadas<br>> para outros destinos.<br>> <br>> Então vale o eterno conselho: fique de olho - não confie só no fail2ban.<br>> _______________________________________________<br>
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>> Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
> _______________________________________________<br>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>> Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
> _______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br>
</div></div></div></div> </div></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>
<br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div><span class=""><font color="#888888">
<br><br clear="all"><div><br></div>-- <br>Thiago Anselmo
</font></span></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br><br clear="all"><div><br></div>-- <br><div dir="ltr"><b style="background-color:rgb(255,255,255)"><font color="#0000ff">att</font></b><div><b style="background-color:rgb(255,255,255)"><font color="#0000ff">Danilo Almeida</font></b></div>
</div>
</div></div>