<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><font face="Arial" size="3" style="font-size:12pt;"> O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente</font><div><font face="Arial" size="3" style="font-size:12pt;">dimensionado, e/ou configurado.</font></div><div><font face="Arial" size="3" style="font-size:12pt;"> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente </font></div><div><font face="Arial" size="3" style="font-size:12pt;">dou HangUp em todos os Guest.<br id="FontBreak"></font><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42, 42, 42);background-color:rgb(255, 255, 255)">Hudson <br>(048) 8413-7000<br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre><br><br><div>> From: caiopato@gmail.com<br>> Date: Wed, 31 Jul 2013 11:47:25 -0300<br>> To: asteriskbrasil@listas.asteriskbrasil.org<br>> Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49<br>> <br>> Eu estava sendo vítima de uma tentativa de ataque a partir do IP<br>> 67.207.137.49 (Rackspace Cloud Servers),<br>> Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables.<br>> Não investiguei a fundo o método do ataque, mas basicamente ele estava<br>> tentando cavar uma falha no dialplan.<br>> <br>> No console apareceu:<br>> Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?<br>> Not a SIP header (tel:1900442075005000)?<br>> ...<br>> Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?<br>> Not a SIP header (tel:2440900442075005000)?<br>> <br>> Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,<br>> 39, .... até chegar no 24409 quando eu bloqueei via iptables.<br>> <br>> Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados.<br>> <br>> O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode<br>> ser apenas um número teste - se o atacante receber "CONNECT", a<br>> tentativa foi bem sucedida e ele descarrega um caminhão de chamadas<br>> para outros destinos.<br>> <br>> Então vale o eterno conselho: fique de olho - não confie só no fail2ban.<br>> _______________________________________________<br>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.<br>> _______________________________________________<br>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.<br>> _______________________________________________<br>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe@listas.asteriskbrasil.org<br></div></div> </div></body>
</html>