<div dir="ltr">Sim maurício, já tinha, veja abaixo:<br><br>failregex = ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - (Wrong password|Username/auth name mismatch|No matching peer found|Not a local domain|Device does not match ACL|Peer is not supposed to register|ACL error \(permit/deny\)|Not a local domain)$<br>
            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Call from &#39;[^&#39;]*&#39; \(&lt;HOST&gt;:\d+\) to extension &#39;\d+&#39; rejected because extension not found in context &#39;default&#39;\.$<br>            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host &lt;HOST&gt; failed to authenticate as &#39;[^&#39;]*&#39;$<br>
            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s No registration for peer &#39;[^&#39;]*&#39; \(from &lt;HOST&gt;\)$<br>            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host &lt;HOST&gt; failed MD5 authentication for &#39;[^&#39;]*&#39; \([^)]+\)$<br>
            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Failed to authenticate (user|device) [^@]+@&lt;HOST&gt;\S*$<br>            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s (?:handle_request_subscribe: )?Sending fake auth rejection for (device|user) \d*&lt;sip:[^@]+@&lt;HOST&gt;&gt;;tag=\w+\S*$<br>
            ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s SecurityEvent=&quot;(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)&quot;,EventTV=&quot;[\d-]+&quot;,Severity=&quot;[\w]+&quot;,Service=&quot;[\w]+&quot;,EventVersion=&quot;\d+&quot;,AccountID=&quot;\d*&quot;,SessionID=&quot;0x[\da-f]+&quot;,LocalAddress=&quot;IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+&quot;,RemoteAddress=&quot;IPV[46]/(UD|TC)P/&lt;HOST&gt;/\d+&quot;(,Challenge=&quot;\w+&quot;,ReceivedChallenge=&quot;\w+&quot;)?(,ReceivedHash=&quot;[\da-f]+&quot;)?(,ACLName=&quot;\w+&quot;)?$<br>
            ^(%(__prefix_line)s|\[\]\s*WARNING%(__pid_re)s:?(?:\[C-[\da-f]*\])? )Ext\. s: &quot;Rejecting unknown SIP connection from &lt;HOST&gt;&quot;$<br>            <br>ignoreregex =<br><br></div><div class="gmail_extra">
<br><br><div class="gmail_quote">Em 9 de agosto de 2014 14:51, Mauricio Magalhães <span dir="ltr">&lt;<a href="mailto:mauriciommagalhaes@gmail.com" target="_blank">mauriciommagalhaes@gmail.com</a>&gt;</span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Vc tem certeza??<div><br></div><div>Verifique se realmente a linha </div><div><br></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"> ^%(log_prefix)s Failed to authenticate</span><br>


</div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">existe</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>


</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">Pq aqui o meu barra, por padrão o fail2ban não vem com essa conf.</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>


</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">Abraçõ</span></div></div><div class="gmail_extra"><div class=""><br clear="all"><div><br><br><div><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left">


<strong style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><span style="font-family:verdana,geneva">Maurício  Magalhães.<br></span></strong><span><font color="#888888" face="arial, sans-serif">Analista de Rede e Segurança.<br>


ITIL® V3 Certification,</font><br></span></p><div style="text-align:left"><font face="Verdana, Arial, Helvetica, sans-serif"><br></font></div><p></p></div></div>
<br><br></div><div class="gmail_quote">Em 9 de agosto de 2014 13:48, dbbrito <span dir="ltr">&lt;<a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a>&gt;</span> escreveu:<div><div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Maurício, o meu já tem essa regra, mas mesmo assim não bloqueia. Alguém mais passando raiva com esse tipo de tentativa de ataque: for SUBSCRIBE ???<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">



2014-07-31 18:55 GMT-03:00 Mauricio Magalhães <span dir="ltr">&lt;<a href="mailto:mauriciommagalhaes@gmail.com" target="_blank">mauriciommagalhaes@gmail.com</a>&gt;</span>:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div dir="ltr">Ou<div><br></div><div>Crie um filter e o coloque-o no dir filter.d e aponte pra ele no join.conf</div><div>abs</div><div><br></div><div><br></div><div><br></div><div><div>[INCLUDES]</div><div><br></div><div>





# Read common prefixes. If any customizations available -- read them from</div><div># common.local</div><div>before = common.conf</div><div><br></div><div>[Definition]</div><div><br></div><div># Option:  failregex</div><div>





# Notes.:  regex to match the password failures messages in the logfile.</div><div># Values:  TEXT</div><div>#</div><div>log_prefix= \[\]\s*(?:NOTICE|SECURITY)%(__pid_re)s:?(?:\[\S+\d*\])? \S+:\d*</div><div><br></div><div>





failregex = ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - Wrong password$</div><div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - No matching peer found$</div>





<div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - Username/auth name mismatch$</div><div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - Device does not match ACL$</div>





<div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - Peer is not supposed to register$</div><div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - ACL error \(permit/deny\)$</div>





<div>            ^%(log_prefix)s Registration from &#39;[^&#39;]*&#39; failed for &#39;&lt;HOST&gt;(:\d+)?&#39; - Not a local domain$</div><div>            ^%(log_prefix)s Call from &#39;[^&#39;]*&#39; \(&lt;HOST&gt;:\d+\) to extension &#39;\d+&#39; rejected because extension not found in context &#39;default&#39;\.$</div>





<div>            ^%(log_prefix)s Host &lt;HOST&gt; failed to authenticate as &#39;[^&#39;]*&#39;$</div><div>            ^%(log_prefix)s No registration for peer &#39;[^&#39;]*&#39; \(from &lt;HOST&gt;\)$</div><div>            ^%(log_prefix)s Host &lt;HOST&gt; failed MD5 authentication for &#39;[^&#39;]*&#39; \([^)]+\)$</div>





<div>            ^%(log_prefix)s Failed to authenticate (user|device) [^@]+@&lt;HOST&gt;\S*$</div><div>            ^%(log_prefix)s (?:handle_request_subscribe: )?Sending fake auth rejection for (device|user) \d*&lt;sip:[^@]+@&lt;HOST&gt;&gt;;tag=\w+\S*$</div>





<div>            ^%(log_prefix)s SecurityEvent=&quot;(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)&quot;,EventTV=&quot;[\d-]+&quot;,Severity=&quot;[\w]+&quot;,Service=&quot;[\w]+&quot;,EventVersion=&quot;\d+&quot;,AccountID=&quot;\d+&quot;,SessionID=&quot;0x[\da-f]+&quot;,LocalAddress=&quot;IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+&quot;,RemoteAddress=&quot;IPV[46]/(UD|TC)P/&lt;HOST&gt;/\d+&quot;(,Challenge=&quot;\w+&quot;,ReceivedChallenge=&quot;\w+&quot;)?(,ReceivedHash=&quot;[\da-f]+&quot;)?$</div>





<div><br></div><div># Option:  ignoreregex</div><div># Notes.:  regex to ignore. If this regex matches, the line is ignored.</div><div># Values:  TEXT</div><div>#</div><div>ignoreregex =</div><div><br></div><div>##end##</div>





</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><br><br><div><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left"><strong style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><span style="font-family:verdana,geneva">Maurício  Magalhães.<br>





</span></strong><span><font color="#888888" face="arial, sans-serif">Analista de Rede e Segurança.<br>ITIL® V3 Certification,</font><br></span></p><div style="text-align:left"><font face="Verdana, Arial, Helvetica, sans-serif"><br>





</font></div><p></p></div></div>
<br><br><div class="gmail_quote">Em 31 de julho de 2014 18:31, Hudson Cardoso <span dir="ltr">&lt;<a href="mailto:hudsoncardoso@hotmail.com" target="_blank">hudsoncardoso@hotmail.com</a>&gt;</span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div>




<div><div dir="ltr"><font face="Arial"><font size="3">Coloca isso no teu contexto default...</font><br><div>                    {noop(tentativa de invasao de : ${CALLERID(num)}, discando ${EXTEN});</div><div>                     noop(desligando e colocando o invasor no iptables ip = ${CHANNEL(peerip)} );</div>





<div>                     system(sbin/iptables -I INPUT -s ${CHANNEL(peerip)} -j DROP);</div><div>                     hangup;}</div><div style="font-size:12pt"><br></div></font><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42,42,42);background-color:rgb(255,255,255)">


Hudson <br><a href="tel:%28048%29%208413-7000" value="+554884137000" target="_blank">(048) 8413-7000</a><br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre><br><br><div><hr>Date: Thu, 31 Jul 2014 18:26:52 -0300<br>





From: <a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a><br>To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>Subject: [AsteriskBrasil] fail2ban<div>





<br><br><div dir="ltr"><div>Amigos, alguém sabe alguma forma de bloquear esse pirata pelo fail2ban<br><br>chan_sip.c:27834 handle_request_subscribe: Failed to authenticate device &lt;<a href="mailto:sip%3Afbhtbegtgfegvvbbbrbbbgbbb@200.219.194.74" target="_blank">sip:fbhtbegtgfegvvbbbrbbbgbbb@200.219.194.74</a>&gt;;tag=osR6H9KXisZSkohZxg9h1oudOecHIcNe for SUBSCRIBE<br>






<br></div>obrigado<br></div>
<br></div>_______________________________________________

WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu
conhecimento na tecnologia e portf�lio Khomp. Pr�xima edi��o
em CURITIBA, 7 de agosto. Inscri��es GRATUITAS. 
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a>
_______________________________________________

ALIGERA � Fabricante e desenvolvedor nacional de Solu��es para telefonia IP .
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Banco de Canais Anal�gicos  � Appliance Asterisk
 Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></div>





                                               </div></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br></div></div>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<div><br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br></div>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<div><br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br></div>
Banco de Canais Analógicos  – Appliance Asterisk<div><br>
 Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>



</blockquote></div>

<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos  – Appliance Asterisk<br>
 Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>


</div></div></div>
<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos  – Appliance Asterisk<br>
 Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>

<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos  – Appliance Asterisk<br>
 Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>