Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Richard Klein]

Pour la durée du ban il faudrait faire du scoring sur 7 jours par exemple.
A chaque fois qu'une sonde remonte la même ip le score moyen remonte.
Si le score est a 0 après 7jours il faudrait supprimer l'IP...

Richard

Le dim. 12 avr. 2020 à 20:52, David Ponzone  a
écrit :

> >
> > Le point faible de tous ces systèmes c'est de nettoyer les entrées quand
> l'attaque s'arrête.
>
> Tu peux configurer fail2ban pour bannière de manière permanente.
> Pour le persistence au restart, c’est un peu plus compliqué, mais je pense
> que je vais regarder:
>
>
> https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/
> <
> https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[Duchet Rémy]

Ca peut s'envisager..
 On a 9500 ip en ipv4 et 650 en ipv6.
Toutes bannies, et annoncé en bgp

Rémy


 Message d'origine 
De : David Ponzone 
Date : 12/04/2020 20:51 (GMT+01:00)
À : Richard Klein 
Cc : Jacques Lavignotte , FRench Network Operators 
Group 
Objet : Re: [FRnOG] [ALERT] Attaque SIP et SIPS

> Le 11 avr. 2020 à 16:16, Richard Klein  a écrit :
> Sinon les Synology ont leurs petit fail2ban interne et effectivement il
> serait bien de faire de la collect en FR et partager nos IPs parasites

J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un exabgp qui 
nous feed les IP à null-router, ça serait sympa.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[David Ponzone]

> 
> Le point faible de tous ces systèmes c'est de nettoyer les entrées quand 
> l'attaque s'arrête.

Tu peux configurer fail2ban pour bannière de manière permanente.
Pour le persistence au restart, c’est un peu plus compliqué, mais je pense que 
je vais regarder:

https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/ 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[David Ponzone]

> Le 11 avr. 2020 à 16:16, Richard Klein  a écrit :
> Sinon les Synology ont leurs petit fail2ban interne et effectivement il
> serait bien de faire de la collect en FR et partager nos IPs parasites

J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un exabgp qui 
nous feed les IP à null-router, ça serait sympa.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[Michel Py]

>> Michel Py a écrit :
>> Xavier (et tout le monde, par extension), est-ce que tu publies la liste des 
>> choses que tu bloques
>> quelque part ? Je suis toujours à la recherche de sources de bonne qualité 
>> pour mon trou noir.

> Richard Klein a écrit :
> et effectivement il serait bien de faire de la collect en FR et partager nos 
> IPs parasites

> Xavier ROCA a écrit :
> Non pas à ce jour, on y songeait mais on n'a pas pris le temps. Il faudrait 
> que l'on y consacre un peu
> de ressource et du temps. On va y réfléchir plus sérieusement car le sujet 
> est de plus en plus sensible.

Le point faible de tous ces systèmes c'est de nettoyer les entrées quand 
l'attaque s'arrête.
J'ai un système qui marche depuis des années, c'est un peu brutal mais 
apparemment il n'y a pas trop d'inconvénients.
http://arneill-py.sacramento.ca.us/cbbc/
ExaBGP et un peu de code, çà fait des merveilles, merci Thomas Mangin.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Jacques Lavignotte]

Le 11/04/2020 à 16:16, Richard Klein a écrit :

Bonjour

A force de recevoir toujours les mêmes email auto de fail2ban il doit y en
avoir qui filtre les emails a destination de la poubelle.



Ils ont un fail2ban qui met à la poubelle ;)

--
GnuPg : 156520BBC8F5B1E3 Because privacy matters.
« Quand est-ce qu'on mange ? » AD (c) (tm)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Richard Klein]

Bonjour

A force de recevoir toujours les mêmes email auto de fail2ban il doit y en
avoir qui filtre les emails a destination de la poubelle.
Moi j'avais personnalisé mes petits mails abuse.
Sinon les Synology ont leurs petit fail2ban interne et effectivement il
serait bien de faire de la collect en FR et partager nos IPs parasites

Bon WE

Richard

Le sam. 11 avr. 2020 à 15:46, Jacques Lavignotte  a
écrit :

>
>
> Le 11/04/2020 à 15:26, Solarus a écrit :
> > Le 11/04/2020 à 15:17, Jacques Lavignotte a écrit :
> >>
> >> Bombarder l'abuse automatiquement n'est-il pas un abus ?
> >>
> >> 
> >>
> > Pas si on respecte la RFC 6650 :)
> > https://tools.ietf.org/html/rfc6650
>
> Abuse Reporting Format (ARF)
>
> C'est une blague ?
>
> 
>
> --
> GnuPg : 156520BBC8F5B1E3 Because privacy matters.
> « Quand est-ce qu'on mange ? » AD (c) (tm)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Jacques Lavignotte]

Le 11/04/2020 à 15:26, Solarus a écrit :

Le 11/04/2020 à 15:17, Jacques Lavignotte a écrit :


Bombarder l'abuse automatiquement n'est-il pas un abus ?




Pas si on respecte la RFC 6650 :)
https://tools.ietf.org/html/rfc6650


Abuse Reporting Format (ARF)

C'est une blague ?



--
GnuPg : 156520BBC8F5B1E3 Because privacy matters.
« Quand est-ce qu'on mange ? » AD (c) (tm)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Solarus]

Le 11/04/2020 à 15:17, Jacques Lavignotte a écrit :


Bombarder l'abuse automatiquement n'est-il pas un abus ?




Pas si on respecte la RFC 6650 :)
https://tools.ietf.org/html/rfc6650


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Jacques Lavignotte]

Bonjour,

Le 11/04/2020 à 12:54, Cedric Schwoerer a écrit :

Fail2ban permet de contacter lui-même l'abuse de l'opérateur concerné
automatiquement ;)


Bombarder l'abuse automatiquement n'est-il pas un abus ?



--
GnuPg : 156520BBC8F5B1E3 Because privacy matters.
« Quand est-ce qu'on mange ? » AD (c) (tm)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Cedric Schwoerer]

Fail2ban permet de contacter lui-même l'abuse de l'opérateur concerné
automatiquement ;) 


Le vendredi 10 avril 2020 à 18:02 +0200, Daniel via frnog a écrit :
> Je passerai ma journée à contacter abuse. Fail2ban joue son rôle et
> ca 
> nous va.
> 
> Le 10/04/2020 à 15:27, Richard Klein a écrit :
> > Bonjour
> > 
> > Vous avez essayé le mail abuse?
> > Après avoir testé l'année dernière au mois d'août avec un mobile en
> > 2G 
> > et rien a faire pendant deux semaines il arrive parfois d'avoir
> > une 
> > réponsemais c'est très rare.
> > 
> > Bon vidoc
> > 
> > Richard
> > 
> > Le ven. 10 avr. 2020 à 11:56, Daniel via frnog  > > a écrit :
> > 
> > Nous avons constaté depuis le début de la pandomie une grosse
> > augmentation d'activité de ce genre, pas seulement depuis cet
> > ISP
> > 
> > Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
> > > Bonjour,
> > >
> > >
> > > Nous constatons depuis sur différents points et honeypot une
> > grosse activité sur des tentative d'attaques.
> > > Ce nombre étant bien supérieur a ce que l'on peut avoir
> > habituellement avec une certaine ténacité dans le temps et en
> > plusieurs lieux.
> > > Je préfère vous faire suivre afin que vous puissiez vous-même
> > agir si ce n'est pas déjà constaté et fait.
> > >
> > > 103.145.12.30
> > > 103.145.12.31
> > > 103.145.12.32
> > > 103.145.12.33
> > > 103.145.12.34
> > > 103.145.12.35
> > >
> > > Bonne fin de semaine
> > >
> > > Xavier
> > >
> > >
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> > 
> > -- 
> > Daniel Huhardeaux
> > +33.368460...@tootai.net 
> > sip:8...@sip.tootai.net 
> > +41.445532...@swiss-itech.ch  > 41.445532...@swiss-itech.ch>
> >   tootaiNET
> > 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> > 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[x.roca]

Michel,

Non pas à ce jour, on y songeait mais on n'a pas pris le temps.
Il faudrait que l'on y consacre un peu de ressource et du temps.
On va y réfléchir plus sérieusement car le sujet est de plus en plus sensible. 

Xavier

-Message d'origine-
De : Michel Py  
Envoyé : vendredi 10 avril 2020 22:35
À : 'x.r...@sipleo.com' ; frnog-al...@frnog.org
Objet : RE: [FRnOG] [ALERT] Attaque SIP et SIPS

> Xavier ROCA a écrit :
> Nous constatons depuis sur différents points et honeypot une grosse 
> activité sur des tentative d'attaques. Ce nombre étant bien supérieur 
> a ce que l'on peut avoir habituellement avec une certaine ténacité 
> dans le temps et en plusieurs lieux. Je  préfère vous faire suivre afin que 
> vous puissiez vous-même agir si ce n'est pas déjà constaté et fait.
> 103.145.12.30; 103.145.12.31; 103.145.12.32; 103.145.12.33; 
> 103.145.12.34; 103.145.12.35

Xavier (et tout le monde, par extension), est-ce que tu publies la liste des 
choses que tu bloques quelque part ? Je suis toujours à la recherche de sources 
de bonne qualité pour mon trou noir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[Michel Py]

> Xavier ROCA a écrit :
> Nous constatons depuis sur différents points et honeypot une grosse activité 
> sur des tentative
> d'attaques. Ce nombre étant bien supérieur a ce que l'on peut avoir 
> habituellement avec une
> certaine ténacité dans le temps et en plusieurs lieux. Je  préfère vous faire 
> suivre afin
> que vous puissiez vous-même agir si ce n'est pas déjà constaté et fait.
> 103.145.12.30; 103.145.12.31; 103.145.12.32; 103.145.12.33; 103.145.12.34; 
> 103.145.12.35

Xavier (et tout le monde, par extension), est-ce que tu publies la liste des 
choses que tu bloques quelque part ? Je suis toujours à la recherche de sources 
de bonne qualité pour mon trou noir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Daniel via frnog]

Je passerai ma journée à contacter abuse. Fail2ban joue son rôle et ca 
nous va.


Le 10/04/2020 à 15:27, Richard Klein a écrit :

Bonjour

Vous avez essayé le mail abuse?
Après avoir testé l'année dernière au mois d'août avec un mobile en 2G 
et rien a faire pendant deux semaines il arrive parfois d'avoir une 
réponsemais c'est très rare.


Bon vidoc

Richard

Le ven. 10 avr. 2020 à 11:56, Daniel via frnog > a écrit :


Nous avons constaté depuis le début de la pandomie une grosse
augmentation d'activité de ce genre, pas seulement depuis cet ISP

Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
> Bonjour,
>
>
> Nous constatons depuis sur différents points et honeypot une
grosse activité sur des tentative d'attaques.
> Ce nombre étant bien supérieur a ce que l'on peut avoir
habituellement avec une certaine ténacité dans le temps et en
plusieurs lieux.
> Je préfère vous faire suivre afin que vous puissiez vous-même
agir si ce n'est pas déjà constaté et fait.
>
> 103.145.12.30
> 103.145.12.31
> 103.145.12.32
> 103.145.12.33
> 103.145.12.34
> 103.145.12.35
>
> Bonne fin de semaine
>
> Xavier
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 
Daniel Huhardeaux

+33.368460...@tootai.net 
sip:8...@sip.tootai.net 
+41.445532...@swiss-itech.ch 
              tootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Richard Klein]

Bonjour

Vous avez essayé le mail abuse?
Après avoir testé l'année dernière au mois d'août avec un mobile en 2G et
rien a faire pendant deux semaines il arrive parfois d'avoir une
réponsemais c'est très rare.

Bon vidoc

Richard

Le ven. 10 avr. 2020 à 11:56, Daniel via frnog  a écrit :

> Nous avons constaté depuis le début de la pandomie une grosse
> augmentation d'activité de ce genre, pas seulement depuis cet ISP
>
> Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
> > Bonjour,
> >
> >
> > Nous constatons depuis sur différents points et honeypot une grosse
> activité sur des tentative d'attaques.
> > Ce nombre étant bien supérieur a ce que l'on peut avoir habituellement
> avec une certaine ténacité dans le temps et en plusieurs lieux.
> > Je préfère vous faire suivre afin que vous puissiez vous-même agir si ce
> n'est pas déjà constaté et fait.
> >
> > 103.145.12.30
> > 103.145.12.31
> > 103.145.12.32
> > 103.145.12.33
> > 103.145.12.34
> > 103.145.12.35
> >
> > Bonne fin de semaine
> >
> > Xavier
> >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
> Daniel Huhardeaux
> +33.368460...@tootai.net  sip:8...@sip.tootai.net
> +41.445532...@swiss-itech.chtootaiNET
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Daniel via frnog]

Nous avons constaté depuis le début de la pandomie une grosse 
augmentation d'activité de ce genre, pas seulement depuis cet ISP


Le 10/04/2020 à 10:48, Xavier ROCA a écrit :

Bonjour,


Nous constatons depuis sur différents points et honeypot une grosse activité 
sur des tentative d'attaques.
Ce nombre étant bien supérieur a ce que l'on peut avoir habituellement avec une 
certaine ténacité dans le temps et en plusieurs lieux.
Je préfère vous faire suivre afin que vous puissiez vous-même agir si ce n'est 
pas déjà constaté et fait.

103.145.12.30
103.145.12.31
103.145.12.32
103.145.12.33
103.145.12.34
103.145.12.35

Bonne fin de semaine

Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[David Ponzone]

Pareil ici, les mecs ont bien scanné tous les ports 5060 qui répondaient chez 
nous.
Ils se sont fait bloquer par les fail2ban, mais j’ai bloqué le /24 en amont 
aussi.

> Le 10 avr. 2020 à 11:11, Xavier ROCA  a écrit :
> 
> On a vu cela,
> on a vu les IP arrivaient pas toutes en même temps donc pour l'instant on a 
> éjecté son /24
> 
> 
> -Message d'origine-
> De : Raphaël Jacquot [mailto:sxp...@sxpert.org] 
> Envoyé : vendredi 10 avril 2020 11:02
> À : frnog@frnog.org
> Objet : Re: [FRnOG] [ALERT] Attaque SIP et SIPS
> 
> 
> 
> Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
>> Bonjour,
>> 
>> 
>> Nous constatons depuis sur différents points et honeypot une grosse activité 
>> sur des tentative d'attaques.
>> Ce nombre étant bien supérieur a ce que l'on peut avoir habituellement avec 
>> une certaine ténacité dans le temps et en plusieurs lieux.
>> Je préfère vous faire suivre afin que vous puissiez vous-même agir si ce 
>> n'est pas déjà constaté et fait.
>> 
>> 103.145.12.30
>> 103.145.12.31
>> 103.145.12.32
>> 103.145.12.33
>> 103.145.12.34
>> 103.145.12.35
> 
> un hebergeur Néerlandais ca...
> 
> role:   CINTY EU WEB SOLUTIONS
> address:Nieuwkerksedijk 10, Goirle
> country:NL
> phone:  +31668630452
> e-mail: cont...@cinty.eu
> admin-c:JG1401-AP
> tech-c: JG1401-AP
> nic-hdl:CEWS1-AP
> mnt-by: MAINT-CINTY
> abuse-mailbox:  ab...@cinty.eu
> remarks:all abuse complaints must be sent to ab...@cinty.eu
> last-modified:  2020-03-10T07:05:00Z
> source: APNIC
> 
> 
>> Bonne fin de semaine
>> 
>> Xavier
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [ALERT] Attaque SIP et SIPS

[Xavier ROCA]

On a vu cela,
on a vu les IP arrivaient pas toutes en même temps donc pour l'instant on a 
éjecté son /24


-Message d'origine-
De : Raphaël Jacquot [mailto:sxp...@sxpert.org] 
Envoyé : vendredi 10 avril 2020 11:02
À : frnog@frnog.org
Objet : Re: [FRnOG] [ALERT] Attaque SIP et SIPS



Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
> Bonjour,
> 
> 
> Nous constatons depuis sur différents points et honeypot une grosse activité 
> sur des tentative d'attaques.
> Ce nombre étant bien supérieur a ce que l'on peut avoir habituellement avec 
> une certaine ténacité dans le temps et en plusieurs lieux.
> Je préfère vous faire suivre afin que vous puissiez vous-même agir si ce 
> n'est pas déjà constaté et fait.
> 
> 103.145.12.30
> 103.145.12.31
> 103.145.12.32
> 103.145.12.33
> 103.145.12.34
> 103.145.12.35

un hebergeur Néerlandais ca...

role:   CINTY EU WEB SOLUTIONS
address:Nieuwkerksedijk 10, Goirle
country:NL
phone:  +31668630452
e-mail: cont...@cinty.eu
admin-c:JG1401-AP
tech-c: JG1401-AP
nic-hdl:CEWS1-AP
mnt-by: MAINT-CINTY
abuse-mailbox:  ab...@cinty.eu
remarks:all abuse complaints must be sent to ab...@cinty.eu
last-modified:  2020-03-10T07:05:00Z
source: APNIC


> Bonne fin de semaine
> 
> Xavier
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Attaque SIP et SIPS

[Raphaël Jacquot]

Le 10/04/2020 à 10:48, Xavier ROCA a écrit :
> Bonjour,
> 
> 
> Nous constatons depuis sur différents points et honeypot une grosse activité 
> sur des tentative d'attaques.
> Ce nombre étant bien supérieur a ce que l'on peut avoir habituellement avec 
> une certaine ténacité dans le temps et en plusieurs lieux.
> Je préfère vous faire suivre afin que vous puissiez vous-même agir si ce 
> n'est pas déjà constaté et fait.
> 
> 103.145.12.30
> 103.145.12.31
> 103.145.12.32
> 103.145.12.33
> 103.145.12.34
> 103.145.12.35

un hebergeur Néerlandais ca...

role:   CINTY EU WEB SOLUTIONS
address:Nieuwkerksedijk 10, Goirle
country:NL
phone:  +31668630452
e-mail: cont...@cinty.eu
admin-c:JG1401-AP
tech-c: JG1401-AP
nic-hdl:CEWS1-AP
mnt-by: MAINT-CINTY
abuse-mailbox:  ab...@cinty.eu
remarks:all abuse complaints must be sent to ab...@cinty.eu
last-modified:  2020-03-10T07:05:00Z
source: APNIC


> Bonne fin de semaine
> 
> Xavier
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/