recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou.
DROP all -- 173.242.120.42 anywhere Nome do Host:173.242.120.42 IP Address: 173.242.120.42 País: United States<http://en.wikipedia.org/wiki/united%20states> [image: united states] Código do país: US (USA) Região: Pennsylvania<http://en.wikipedia.org/wiki/Pennsylvania> Cidade: Clarks Summit Código postal: 18411 Código tel.: +1<http://en.wikipedia.org/wiki/Area_code#United_States> Longitude: -75.728 Latitude: 41.4486 [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from '"shuang" <sip:shuang@IP-Servidor>' failed for '173.242.120.42:5061' - Wrong password [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servidor>' failed for '173.242.120.42:5081' - Wrong password [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servidor>' failed for '173.242.120.42:5081' - Wrong password [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from '"chu" <sip:chu@IP-servido>' failed for '173.242.120.42:5081' - Wrong password se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs Em 31 de julho de 2013 12:50, Thiago Anselmo <thiagoo.ansel...@gmail.com>escreveu: > Amigo, > > Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o > fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! > > Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público > ligado a ele? > > me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! > Bloqueia tudo e libera apenas para quem você deseja! > > > Em 31 de julho de 2013 12:40, Marcio - Google <marci...@gmail.com>escreveu: > > Exatamente o que o Hudson disse ... >> Falha no dimensionamento e configuração. >> >> >> [...]'s >> >> Marcio >> >> ======================================== >> ########### Campanha Ajude o Marcio! ########### >> http://sosmarcio.blogspot.com.br/ >> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 >> ======================================== >> >> >> Em 31 de julho de 2013 11:06, Hudson Cardoso >> <hudsoncard...@hotmail.com>escreveu: >> >> O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa >>> que o teu firewall não está corretamente >>> dimensionado, e/ou configurado. >>> No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um >>> guest pede acesso ao diaplan, simplesmente >>> dou HangUp em todos os Guest. >>> >>> >>> Hudson >>> (048) 8413-7000 >>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma >>> prova precisa. >>> >>> >>> >>> > From: caiop...@gmail.com >>> > Date: Wed, 31 Jul 2013 11:47:25 -0300 >>> > To: asteriskbrasil@listas.asteriskbrasil.org >>> > Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 >>> >>> > >>> > Eu estava sendo vítima de uma tentativa de ataque a partir do IP >>> > 67.207.137.49 (Rackspace Cloud Servers), >>> > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no >>> iptables. >>> > Não investiguei a fundo o método do ataque, mas basicamente ele estava >>> > tentando cavar uma falha no dialplan. >>> > >>> > No console apareceu: >>> > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? >>> > Not a SIP header (tel:1900442075005000)? >>> > ... >>> > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? >>> > Not a SIP header (tel:2440900442075005000)? >>> > >>> > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, >>> > 39, .... até chegar no 24409 quando eu bloqueei via iptables. >>> > >>> > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs >>> gerados. >>> > >>> > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode >>> > ser apenas um número teste - se o atacante receber "CONNECT", a >>> > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas >>> > para outros destinos. >>> > >>> > Então vale o eterno conselho: fique de olho - não confie só no >>> fail2ban. >>> > _______________________________________________ >>> > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> > Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> > _______________________________________________ >>> > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> > _______________________________________________ >>> > Para remover seu email desta lista, basta enviar um email em branco >>> para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >>> _______________________________________________ >>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >>> Intercomunicadores para acesso remoto via rede IP. Conheça em >>> www.Khomp.com. >>> _______________________________________________ >>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >>> _______________________________________________ >>> Para remover seu email desta lista, basta enviar um email em branco para >>> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >>> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> > > > > -- > Thiago Anselmo > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > -- *att* *Danilo Almeida*
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org