<div dir="ltr">Outro detalhe Maurício, é nem no console como no log aparece o IP do invasor.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">Em 9 de agosto de 2014 14:57, dbbrito <span dir="ltr"><<a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Sim maurício, já tinha, veja abaixo:<br><br>failregex = ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - (Wrong password|Username/auth name mismatch|No matching peer found|Not a local domain|Device does not match ACL|Peer is not supposed to register|ACL error \(permit/deny\)|Not a local domain)$<br>
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Call from '[^']*' \(<HOST>:\d+\) to extension '\d+' rejected because extension not found in context 'default'\.$<br> ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed to authenticate as '[^']*'$<br>
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s No registration for peer '[^']*' \(from <HOST>\)$<br> ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed MD5 authentication for '[^']*' \([^)]+\)$<br>
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Failed to authenticate (user|device) [^@]+@<HOST>\S*$<br> ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s (?:handle_request_subscribe: )?Sending fake auth rejection for (device|user) \d*<sip:[^@]+@<HOST>>;tag=\w+\S*$<br>
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d*",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?(,ACLName="\w+")?$<br>
^(%(__prefix_line)s|\[\]\s*WARNING%(__pid_re)s:?(?:\[C-[\da-f]*\])? )Ext\. s: "Rejecting unknown SIP connection from <HOST>"$<br> <br>ignoreregex =<br><br></div><div class="gmail_extra">
<br><br><div class="gmail_quote">Em 9 de agosto de 2014 14:51, Mauricio Magalhães <span dir="ltr"><<a href="mailto:mauriciommagalhaes@gmail.com" target="_blank">mauriciommagalhaes@gmail.com</a>></span> escreveu:<div>
<div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Vc tem certeza??<div><br></div><div>Verifique se realmente a linha </div><div><br></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"> ^%(log_prefix)s Failed to authenticate</span><br>
</div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">existe</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>
</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">Pq aqui o meu barra, por padrão o fail2ban não vem com essa conf.</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px"><br>
</span></div><div><span style="font-family:arial,sans-serif;font-size:12.727272033691406px">Abraçõ</span></div></div><div class="gmail_extra"><div><br clear="all"><div><br><br><div><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left">
<strong style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><span style="font-family:verdana,geneva">Maurício Magalhães.<br></span></strong><span><font color="#888888" face="arial, sans-serif">Analista de Rede e Segurança.<br>
ITIL® V3 Certification,</font><br></span></p><div style="text-align:left"><font face="Verdana, Arial, Helvetica, sans-serif"><br></font></div><p></p></div></div>
<br><br></div><div class="gmail_quote">Em 9 de agosto de 2014 13:48, dbbrito <span dir="ltr"><<a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a>></span> escreveu:<div><div><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Maurício, o meu já tem essa regra, mas mesmo assim não bloqueia. Alguém mais passando raiva com esse tipo de tentativa de ataque: for SUBSCRIBE ???<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
2014-07-31 18:55 GMT-03:00 Mauricio Magalhães <span dir="ltr"><<a href="mailto:mauriciommagalhaes@gmail.com" target="_blank">mauriciommagalhaes@gmail.com</a>></span>:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Ou<div><br></div><div>Crie um filter e o coloque-o no dir filter.d e aponte pra ele no join.conf</div><div>abs</div><div><br></div><div><br></div><div><br></div><div><div>[INCLUDES]</div><div><br></div><div>
# Read common prefixes. If any customizations available -- read them from</div><div># common.local</div><div>before = common.conf</div><div><br></div><div>[Definition]</div><div><br></div><div># Option: failregex</div><div>
# Notes.: regex to match the password failures messages in the logfile.</div><div># Values: TEXT</div><div>#</div><div>log_prefix= \[\]\s*(?:NOTICE|SECURITY)%(__pid_re)s:?(?:\[\S+\d*\])? \S+:\d*</div><div><br></div><div>
failregex = ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - Wrong password$</div><div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - No matching peer found$</div>
<div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - Username/auth name mismatch$</div><div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - Device does not match ACL$</div>
<div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - Peer is not supposed to register$</div><div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - ACL error \(permit/deny\)$</div>
<div> ^%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - Not a local domain$</div><div> ^%(log_prefix)s Call from '[^']*' \(<HOST>:\d+\) to extension '\d+' rejected because extension not found in context 'default'\.$</div>
<div> ^%(log_prefix)s Host <HOST> failed to authenticate as '[^']*'$</div><div> ^%(log_prefix)s No registration for peer '[^']*' \(from <HOST>\)$</div><div> ^%(log_prefix)s Host <HOST> failed MD5 authentication for '[^']*' \([^)]+\)$</div>
<div> ^%(log_prefix)s Failed to authenticate (user|device) [^@]+@<HOST>\S*$</div><div> ^%(log_prefix)s (?:handle_request_subscribe: )?Sending fake auth rejection for (device|user) \d*<sip:[^@]+@<HOST>>;tag=\w+\S*$</div>
<div> ^%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$</div>
<div><br></div><div># Option: ignoreregex</div><div># Notes.: regex to ignore. If this regex matches, the line is ignored.</div><div># Values: TEXT</div><div>#</div><div>ignoreregex =</div><div><br></div><div>##end##</div>
</div><div><br></div></div><div class="gmail_extra"><br clear="all"><div><br><br><div><p style="margin-top:0px;margin-right:0px;margin-bottom:8px;margin-left:0px;text-align:left"><strong style="font-size:13.3px;font-family:Verdana,Arial,Helvetica,sans-serif"><span style="font-family:verdana,geneva">Maurício Magalhães.<br>
</span></strong><span><font color="#888888" face="arial, sans-serif">Analista de Rede e Segurança.<br>ITIL® V3 Certification,</font><br></span></p><div style="text-align:left"><font face="Verdana, Arial, Helvetica, sans-serif"><br>
</font></div><p></p></div></div>
<br><br><div class="gmail_quote">Em 31 de julho de 2014 18:31, Hudson Cardoso <span dir="ltr"><<a href="mailto:hudsoncardoso@hotmail.com" target="_blank">hudsoncardoso@hotmail.com</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div>
<div><div dir="ltr"><font face="Arial"><font size="3">Coloca isso no teu contexto default...</font><br><div> {noop(tentativa de invasao de : ${CALLERID(num)}, discando ${EXTEN});</div><div> noop(desligando e colocando o invasor no iptables ip = ${CHANNEL(peerip)} );</div>
<div> system(sbin/iptables -I INPUT -s ${CHANNEL(peerip)} -j DROP);</div><div> hangup;}</div><div style="font-size:12pt"><br></div></font><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42,42,42);background-color:rgb(255,255,255)">
Hudson <br><a href="tel:%28048%29%208413-7000" value="+554884137000" target="_blank">(048) 8413-7000</a><br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre><br><br><div><hr>Date: Thu, 31 Jul 2014 18:26:52 -0300<br>
From: <a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a><br>To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>Subject: [AsteriskBrasil] fail2ban<div>
<br><br><div dir="ltr"><div>Amigos, alguém sabe alguma forma de bloquear esse pirata pelo fail2ban<br><br>chan_sip.c:27834 handle_request_subscribe: Failed to authenticate device <<a href="mailto:sip%3Afbhtbegtgfegvvbbbrbbbgbbb@200.219.194.74" target="_blank">sip:fbhtbegtgfegvvbbbrbbbgbbb@200.219.194.74</a>>;tag=osR6H9KXisZSkohZxg9h1oudOecHIcNe for SUBSCRIBE<br>
<br></div>obrigado<br></div>
<br></div>_______________________________________________
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu
conhecimento na tecnologia e portf�lio Khomp. Pr�xima edi��o
em CURITIBA, 7 de agosto. Inscri��es GRATUITAS.
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a>
_______________________________________________
ALIGERA � Fabricante e desenvolvedor nacional de Solu��es para telefonia IP .
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Banco de Canais Anal�gicos � Appliance Asterisk
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a></div>
                                           </div></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br></div></div>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<div><br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br></div>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<div><br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br></div>
Banco de Canais Analógicos – Appliance Asterisk<div><br>
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>
</blockquote></div>
<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos – Appliance Asterisk<br>
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>
<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos – Appliance Asterisk<br>
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>
<br></div>
<br>_______________________________________________<br>
<br>
WORKOFFEE KHOMP: Eventos Khomp na sua cidade! Desenvolva seu<br>
conhecimento na tecnologia e portfólio Khomp. Próxima edição<br>
em CURITIBA, 7 de agosto. Inscrições GRATUITAS.<br>
Garanta a sua vaga e saiba mais em: <a href="http://www.workoffee.com.br" target="_blank">www.workoffee.com.br</a><br>
_______________________________________________<br>
<br>
ALIGERA – Fabricante e desenvolvedor nacional de Soluções para telefonia IP .<br>
Gateway Sip, Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Banco de Canais Analógicos – Appliance Asterisk<br>
Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div>
<br></div>
</blockquote></div><br></div>