É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk!
Desta maneira o protocolo SIP sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido! Com o Ramal na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações ! Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente ! http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/ PS: modo primitivo que demonstra como é feito tudo ... Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais ! Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte.. Att, Eng Eder de Souza Em 15 de março de 2011 09:22, jose <jasanc...@terra.com.br> escreveu: > > Bom dia Pessoal > > Algum especialista poderia me explicar como esta acontecendo essa invasao > abaixo: Obrigado > > -- Executing [00442070661000@from-sip-external:1] > NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from > unknown peer to 00442070661000") in new stack > > -- Executing [00442070661000@from-sip-external:2] > Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack > > -- Executing [00442070661000@from-sip-external:3] > Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack > > -- Goto (from-sip-external,s,1) > > -- Executing [s@from-sip-external:1] > GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new > stack > > -- Executing [s@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", > "TIMEOUT(absolute)=15") in new stack > > -- Channel will hangup at 2011-03-15 03:45:15 UTC. > > -- Executing [s@from-sip-external:3] > Answer("SIP/94.136.54.147-086b6658", "") in new stack > > -- Executing [s@from-sip-external:4] > Wait("SIP/94.136.54.147-086b6658", "2") in new stack > > == Spawn extension (from-sip-external, s, 4) exited non-zero on > 'SIP/94.136.54.147-086b6658' > > -- Executing [h@from-sip-external:1] > NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack > > -- Executing [h@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", > "DID=s") in new stack > > -- Executing [h@from-sip-external:3] > Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack > > -- Goto (from-sip-external,s,1) > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > Headsets Plantronics com o melhor preço do Brasil. > Acesse agora www.voipmania.com.br > VOIPMANIA STORE > ________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > ______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org