Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamentedimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables. Não investiguei a fundo o método do ataque, mas basicamente ele estava tentando cavar uma falha no dialplan. No console apareceu: Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:1900442075005000)? ... Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:2440900442075005000)? Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, 39, até chegar no 24409 quando eu bloqueei via iptables. Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode ser apenas um número teste - se o atacante receber CONNECT, a tentativa foi bem sucedida e ele descarrega um caminhão de chamadas para outros destinos. Então vale o eterno conselho: fique de olho - não confie só no fail2ban. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.comescreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables. Não investiguei a fundo o método do ataque, mas basicamente ele estava tentando cavar uma falha no dialplan. No console apareceu: Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:1900442075005000)? ... Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:2440900442075005000)? Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, 39, até chegar no 24409 quando eu bloqueei via iptables. Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode ser apenas um número teste - se o atacante receber CONNECT, a tentativa foi bem sucedida e ele descarrega um caminhão de chamadas para outros destinos. Então vale o eterno conselho: fique de olho - não confie só no fail2ban. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Amigo, Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele? me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! Bloqueia tudo e libera apenas para quem você deseja! Em 31 de julho de 2013 12:40, Marcio - Google marci...@gmail.com escreveu: Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.comescreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables. Não investiguei a fundo o método do ataque, mas basicamente ele estava tentando cavar uma falha no dialplan. No console apareceu: Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:1900442075005000)? ... Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:2440900442075005000)? Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, 39, até chegar no 24409 quando eu bloqueei via iptables. Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode ser apenas um número teste - se o atacante receber CONNECT, a tentativa foi bem sucedida e ele descarrega um caminhão de chamadas para outros destinos. Então vale o eterno conselho: fique de olho - não confie só no fail2ban. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Thiago Anselmo ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou. DROP all -- 173.242.120.42 anywhere Nome do Host:173.242.120.42 IP Address: 173.242.120.42 País: United Stateshttp://en.wikipedia.org/wiki/united%20states [image: united states] Código do país: US (USA) Região: Pennsylvaniahttp://en.wikipedia.org/wiki/Pennsylvania Cidade: Clarks Summit Código postal: 18411 Código tel.: +1http://en.wikipedia.org/wiki/Area_code#United_States Longitude: -75.728 Latitude: 41.4486 [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from 'shuang sip:shuang@IP-Servidor' failed for '173.242.120.42:5061' - Wrong password [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servido' failed for '173.242.120.42:5081' - Wrong password se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs Em 31 de julho de 2013 12:50, Thiago Anselmo thiagoo.ansel...@gmail.comescreveu: Amigo, Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele? me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! Bloqueia tudo e libera apenas para quem você deseja! Em 31 de julho de 2013 12:40, Marcio - Google marci...@gmail.comescreveu: Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.comescreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables. Não investiguei a fundo o método do ataque, mas basicamente ele estava tentando cavar uma falha no dialplan. No console apareceu: Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:1900442075005000)? ... Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:2440900442075005000)? Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, 39, até chegar no 24409 quando eu bloqueei via iptables. Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode ser apenas um número teste - se o atacante receber CONNECT, a tentativa foi bem sucedida e ele descarrega um caminhão de chamadas para outros destinos. Então vale o eterno conselho: fique de olho - não confie só no fail2ban. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Gente, eu não uso Fail2ban. Como esses ataques são oriundos de redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu Asterisk nunca mais exibiram tentativa de logar via sip nos meus servidores. Veja o código abaixo que é bem simples, libero apenas as redes que estão listadas, depois fecho tudo. Se não tiver necessidade de ter alguém externo que logue no seu servidor, o código abaixo resolve. Desative todas suas regras de iptables, desative todos os firewall´s e rode o script abaixo. #!/bin/bash ipt=/sbin/iptables $ipt -F $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -p udp -j DROP Em 31/07/2013 13:12, Danilo Almeida escreveu: recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou. DROP all -- 173.242.120.42 tel:173.242.120.42 anywhere Nome do Host: 173.242.120.42 tel:173.242.120.42 IP Address: 173.242.120.42 tel:173.242.120.42 País: United States http://en.wikipedia.org/wiki/united%20states united states Código do país: US (USA) Região: Pennsylvania http://en.wikipedia.org/wiki/Pennsylvania Cidade: Clarks Summit Código postal: 18411 Código tel.:+1 http://en.wikipedia.org/wiki/Area_code#United_States Longitude: -75.728 Latitude: 41.4486 [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from 'shuang sip:shuang@IP-Servidor' failed for '173.242.120.42:5061 http://173.242.120.42:5061' - Wrong password [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081 http://173.242.120.42:5081' - Wrong password [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081 http://173.242.120.42:5081' - Wrong password [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servido' failed for '173.242.120.42:5081 http://173.242.120.42:5081' - Wrong password se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs Em 31 de julho de 2013 12:50, Thiago Anselmo thiagoo.ansel...@gmail.com mailto:thiagoo.ansel...@gmail.com escreveu: Amigo, Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele? me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! Bloqueia tudo e libera apenas para quem você deseja! Em 31 de julho de 2013 12:40, Marcio - Google marci...@gmail.com mailto:marci...@gmail.com escreveu: Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 tel:%28048%29%208413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com mailto:caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org mailto:asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 tel:67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 tel:67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
surgiu uma dúvida referente a esses ataques, como sou inexperiente nessa parte de redes, não sei como funciona essas tentativas... como que eles descobrem o servidor na rede? como conseguem fazer tantas tentativas de ataque simultaneamente? se alguém puder me esclarecer um pouco sobre esse assunto eu agradeço... até mesmo porque, precisamos conhecer as técnicas para nos proteger. Obrigado Em 31 de julho de 2013 13:33, Guilherme Rezende aster...@guilherme.eti.brescreveu: Gente, eu não uso Fail2ban. Como esses ataques são oriundos de redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu Asterisk nunca mais exibiram tentativa de logar via sip nos meus servidores. Veja o código abaixo que é bem simples, libero apenas as redes que estão listadas, depois fecho tudo. Se não tiver necessidade de ter alguém externo que logue no seu servidor, o código abaixo resolve. Desative todas suas regras de iptables, desative todos os firewall´s e rode o script abaixo. #!/bin/bash ipt=/sbin/iptables $ipt -F $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -p udp -j DROP Em 31/07/2013 13:12, Danilo Almeida escreveu: recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou. DROP all -- 173.242.120.42 anywhere Nome do Host: 173.242.120.42 IP Address: 173.242.120.42 País: United States http://en.wikipedia.org/wiki/united%20states [image: united states] Código do país: US (USA) Região: Pennsylvaniahttp://en.wikipedia.org/wiki/Pennsylvania Cidade: Clarks Summit Código postal: 18411 Código tel.: +1http://en.wikipedia.org/wiki/Area_code#United_States Longitude: -75.728 Latitude: 41.4486 [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from 'shuang sip:shuang@IP-Servidor' failed for '173.242.120.42:5061' - Wrong password [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servido' failed for '173.242.120.42:5081' - Wrong password se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs Em 31 de julho de 2013 12:50, Thiago Anselmo thiagoo.ansel...@gmail.comescreveu: Amigo, Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele? me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! Bloqueia tudo e libera apenas para quem você deseja! Em 31 de julho de 2013 12:40, Marcio - Google marci...@gmail.comescreveu: Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.comescreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 Eu estava sendo vítima de uma tentativa de ataque a partir do IP 67.207.137.49 (Rackspace Cloud Servers), Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables. Não investiguei a fundo o método do ataque, mas basicamente ele estava tentando cavar uma falha no dialplan. No console apareceu: Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? Not a SIP header (tel:1900442075005000)?
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
IP público no server?!?!?! My Good, alguém realmente faz uma sandice dessas??? Acho que vou desencarnar e não terei lido tudo ... rsrsrsrsrsr No mínimo, mas mínimo mesmo: Internet Router Firewall [NAT] Asterisk [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 12:37, Danilo Almeida daniloricalme...@gmail.comescreveu: surgiu uma dúvida referente a esses ataques, como sou inexperiente nessa parte de redes, não sei como funciona essas tentativas... como que eles descobrem o servidor na rede? como conseguem fazer tantas tentativas de ataque simultaneamente? se alguém puder me esclarecer um pouco sobre esse assunto eu agradeço... até mesmo porque, precisamos conhecer as técnicas para nos proteger. Obrigado Em 31 de julho de 2013 13:33, Guilherme Rezende aster...@guilherme.eti.br escreveu: Gente, eu não uso Fail2ban. Como esses ataques são oriundos de redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não são BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do meu Asterisk nunca mais exibiram tentativa de logar via sip nos meus servidores. Veja o código abaixo que é bem simples, libero apenas as redes que estão listadas, depois fecho tudo. Se não tiver necessidade de ter alguém externo que logue no seu servidor, o código abaixo resolve. Desative todas suas regras de iptables, desative todos os firewall´s e rode o script abaixo. #!/bin/bash ipt=/sbin/iptables $ipt -F $ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT $ipt -A INPUT -i eth2 -p udp -j DROP Em 31/07/2013 13:12, Danilo Almeida escreveu: recebi várias tentativas neste final de semana, porém, o fail2ban bloqueiou. DROP all -- 173.242.120.42 anywhere Nome do Host: 173.242.120.42 IP Address: 173.242.120.42 País: United States http://en.wikipedia.org/wiki/united%20states [image: united states] Código do país: US (USA) Região: Pennsylvaniahttp://en.wikipedia.org/wiki/Pennsylvania Cidade: Clarks Summit Código postal: 18411 Código tel.: +1http://en.wikipedia.org/wiki/Area_code#United_States Longitude: -75.728 Latitude: 41.4486 [2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from 'shuang sip:shuang@IP-Servidor' failed for '173.242.120.42:5061' - Wrong password [2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servidor' failed for '173.242.120.42:5081' - Wrong password [2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from 'chu sip:chu@IP-servido' failed for '173.242.120.42:5081' - Wrong password se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o invasor permanecia tentando no dia seguinte, agora dei um BAN permanente nele... rsrs Em 31 de julho de 2013 12:50, Thiago Anselmo thiagoo.ansel...@gmail.comescreveu: Amigo, Já teve outro amigo aqui da lista que teve o mesmo problema, e o mesmo o fail2ban não pegou, pois eles não atacam penas 5060, existe outras fomras!! Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP público ligado a ele? me diga que podemos realizar formas de fazer com o IPTABLES!! E fica bom!!! Bloqueia tudo e libera apenas para quem você deseja! Em 31 de julho de 2013 12:40, Marcio - Google marci...@gmail.comescreveu: Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 11:06, Hudson Cardoso hudsoncard...@hotmail.com escreveu: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 11:47:25 -0300 To:
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
2013/7/31 Hudson Cardoso hudsoncard...@hotmail.com: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. Por partes: 1) Eu não uso fail2ban (acho que esqueci de comentar... quis dizer que mesmo com fail2ban, não havia logs para investigar - só com o tcpdump eu consegui capturar os pacotes); 2) O atacante não conseguiu fazer nenhum estrago; 3) Não sou provedor e o acesso é muito restrito, então não preciso ter regras flexíveis - as minhas, por sinal, são radicais: o bloqueio de vários /8 no iptables sempre que algum engraçadinho tenta descarregar chamadas. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Eu tenho uma regra para guest, e todo mundo que não é autenticado cai lá, a chamada é aceita e ele é atendido (answer) e depois derrubado (hanguup). Como eu havia dito Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. Não houve qualquer registro no CDR nem nos logs físicos - só mesmo no console. Mais ou menos simples. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Bom, mas essa é a função do Fail2Ban, impedir entrada, pois o ataque não é so voip, masroot, ssh, udp, samba, ftp, http, e impedir trafego indesejado, se não teus logs sempre vão estar cheios. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. From: caiop...@gmail.com Date: Wed, 31 Jul 2013 13:55:38 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 2013/7/31 Hudson Cardoso hudsoncard...@hotmail.com: O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa que o teu firewall não está corretamente dimensionado, e/ou configurado. Por partes: 1) Eu não uso fail2ban (acho que esqueci de comentar... quis dizer que mesmo com fail2ban, não havia logs para investigar - só com o tcpdump eu consegui capturar os pacotes); 2) O atacante não conseguiu fazer nenhum estrago; 3) Não sou provedor e o acesso é muito restrito, então não preciso ter regras flexíveis - as minhas, por sinal, são radicais: o bloqueio de vários /8 no iptables sempre que algum engraçadinho tenta descarregar chamadas. No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest pede acesso ao diaplan, simplesmente dou HangUp em todos os Guest. Eu tenho uma regra para guest, e todo mundo que não é autenticado cai lá, a chamada é aceita e ele é atendido (answer) e depois derrubado (hanguup). Como eu havia dito Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados. Não houve qualquer registro no CDR nem nos logs físicos - só mesmo no console. Mais ou menos simples. ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
2013/7/31 Marcio - Google marci...@gmail.com IP público no server?!?!?! My Good, alguém realmente faz uma sandice dessas??? Todos os servidores que eu vi até hoje estão/estavam com IP público direto na máquina. As pessoas com quem eu converso também usam o asterisk diretamente com IP público. Todos protegidos por iptables na própria máquina, e por regras robustas de dialplan (sem permitir códigos mágicos de cadeado). Não me lembro de ter visto (EU ter visto) um asterisk atrás da configuração que você comentou. NÃO CONSIDERO que o local de instalação de um asterisk (com IP público ou na rede interna) faça QUALQUER DIFERENÇA quando a máquina está mal configurada. Falando TECNICAMENTE: qual a diferença entre ter um asterisk bem configurado com IP público e um asterisk arrombado em um IP privado atrás de roteador, firewall e NAT - CONSIDERANDO QUE AMBOS tenham que receber conexões vindas da internet? Acho que você poderia repensar o seu conceito de sandice e correto. :P O problema não está no IP, está na configuração! ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
2013/7/31 Hudson Cardoso hudsoncard...@hotmail.com: Bom, mas essa é a função do Fail2Ban, impedir entrada, pois o ataque não é so voip, mas root, ssh, udp, samba, ftp, http, e impedir trafego indesejado, se não teus logs sempre vão estar cheios. No meu caso particular isso é muito tranquilo... a máquina está em um datacenter e o acesso só é possível a partir de dois IPs externos, ambos são IPs fixos também. Todos os serviços são desabilitados ou bloqueados, e somente as portas necessárias para o asterisk funcionar são liberadas para acesso a partir da rede externa. ssh, http/s, s/ftp, tftp, samba, nfs, mysql... tudo bloqueado no iptables e só permitido para os dois IPs próprios. Meu uso do asterisk é muito diferente da grande maioria, por isso posso dormir (um pouco) mais tranquilo provavelmente... (que assim continue!) ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
2013/7/31 Danilo Almeida daniloricalme...@gmail.com como que eles descobrem o servidor na rede? scan de rede, procurando por quem está escutando nas portas padrão SIP (5060 e 5061). se respondeu, marca para posterior ataque. como conseguem fazer tantas tentativas de ataque simultaneamente? um script. Tem vários módulos para perl que você pode escrever sua ferramenta de ataque. Existem também algumas ferramentas para ruindows permitem automatização do ataque. No meu caso foram mais de três mil em dez minutos. Ou uma média de 6 tentativas por segundo ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Pois é Caio, devemos viver em planetas diferentes mesmo ... rsrsrsrs Até hoje só vi gambiarras e sistemas amadores dessa forma. Desculpe a expressão, mas pensei por 5 minutos e não achei uma mais adequada. O problema é que hoje em dia a sala tem um rack, um split e dois shortbreak e é chamada de DATACENTER. Desconheço DATACENTERs verdadeiros que expões os clientes dessa forma, exceto sob pedido. Você acha que um sistema que atendem centenas de ligações simultâneas está instalado em um servidor montado exposto a net com tudo em um (Asterisk, LAMP, etc) ?? Ou mesmo sistemas menores?!?! Tenho colegas com sistemas relativamente pequenos, mas que nem por isso cometem esse tipo de sandice. Tem no minimo um iptables muito bem configurado em uma máquina separada entre o router e o Asterisk. Sistemas um pouco maiores tem tem pelo menos um appliance firewall entre o router e o proxy SIP. Ou vai me dizer que nunca ouviu falar em Proxy SIP?!?! Aqui na lista mesmo, há vários colegas com essa estrutura. Até o meu IPBX doméstico está atrás de um Firebox! Já ouviu falar de Cisco, Juniper, WatchGuard??? Sugiro que de uma olhadinha nos sites deles, tem muito material sobre segurança de rede. E segurança de rede se aplica a rede, independente do propósito. Ah, o conteúdo do material é para todos os níveis de conhecimento. Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de médio-porte pra cima, no minimo seu servidor teria caído. Só 6 tentativas por segundo não é nada, e mostra que o cracker que tentou é um micreiro. Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do Asterisk pode ser facilmente jogado para um arquivo e virar log para analise. Fui ... [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 13:04, Caio Pato caiop...@gmail.com escreveu: 2013/7/31 Marcio - Google marci...@gmail.com IP público no server?!?!?! My Good, alguém realmente faz uma sandice dessas??? Todos os servidores que eu vi até hoje estão/estavam com IP público direto na máquina. As pessoas com quem eu converso também usam o asterisk diretamente com IP público. Todos protegidos por iptables na própria máquina, e por regras robustas de dialplan (sem permitir códigos mágicos de cadeado). Não me lembro de ter visto (EU ter visto) um asterisk atrás da configuração que você comentou. NÃO CONSIDERO que o local de instalação de um asterisk (com IP público ou na rede interna) faça QUALQUER DIFERENÇA quando a máquina está mal configurada. Falando TECNICAMENTE: qual a diferença entre ter um asterisk bem configurado com IP público e um asterisk arrombado em um IP privado atrás de roteador, firewall e NAT - CONSIDERANDO QUE AMBOS tenham que receber conexões vindas da internet? Acho que você poderia repensar o seu conceito de sandice e correto. :P O problema não está no IP, está na configuração! ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Esclarecido, valeu pela resposta Caio Pato! Em 31 de julho de 2013 14:17, Caio Pato caiop...@gmail.com escreveu: 2013/7/31 Danilo Almeida daniloricalme...@gmail.com como que eles descobrem o servidor na rede? scan de rede, procurando por quem está escutando nas portas padrão SIP (5060 e 5061). se respondeu, marca para posterior ataque. como conseguem fazer tantas tentativas de ataque simultaneamente? um script. Tem vários módulos para perl que você pode escrever sua ferramenta de ataque. Existem também algumas ferramentas para ruindows permitem automatização do ataque. No meu caso foram mais de três mil em dez minutos. Ou uma média de 6 tentativas por segundo ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- *att* *Danilo Almeida* ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Pois é Caio, na minha parca experiência, sempre aprendi que as melhores soluções são as mais simples... Vou montar um server de 10 ramais para o cliente e explicar que vai me pagar uns 7K de servidor e serviços e mais 100K de equipamentos de segurança de redes... Att, Em 31 de julho de 2013 15:55, Caio Pato caiop...@gmail.com escreveu: Fico contente que temos na lista pessoas que gostam de ensinar de forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos comentários pontuais. 2013/7/31 Marcio - Google marci...@gmail.com: Já ouviu falar de Cisco, Juniper, WatchGuard??? Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho de séculos em séculos :P Serve a SonicWall? Fortinet? Check Point? Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de médio-porte pra cima, no minimo seu servidor teria caído. Só 6 tentativas por segundo não é nada, e mostra que o cracker que tentou é um micreiro. Bom, você com certeza entende muito de segurança mas pouco de ataques. E isso deve ser bom, porque quem se protege não precisa se preocupar com ataques - muito menos conhecê-los, não é mesmo? Não sei se você sabe mas logo após uma invasão você sabe o que o cracker/hacker/lammer faz? Consertar a falha para que ninguém use a mesma brecha. Afinal, ninguém quer dividir a invasão com outro scriptkiddie. E por que você acha que algum atacante iria querer DERRUBAR A SUA MÁQUINA? Qual a LÓGICA em derrubar? Pense um pouquinho... só por dois segundos: se o cara enviar N mil conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade, como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua máquina. São antagônicos. Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar um servidor o qual você pretende invadir? Estou falando de INVASÃO, não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma palestra na penúltima reunião do GTS de um grupo de segurança que investigou , esse povo que faz descarga de VoIP são muito bem organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que querem usar. É muita, muita burrice fazer isso. Usando suas sábias palavras, oh my god, uma sandice derrubar algo que você quer usar. Por isso, um ataque micro - ou nano - é o mais recomendado. Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do Asterisk pode ser facilmente jogado para um arquivo e virar log para analise. E? E dai? O que adianta um log inválido? Com poucas informações ou informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que vem nos ataques de brute force são geralmente spoofados... Não adianta gravar logs inúteis. O IP que aparece na maioria dos ataques (SIP HEADER) é spoofado. Não pesquisei a fundo mas não me lembro que o asterisk consiga capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula para todos nós que ainda estamos começando na vida, Você poderia compartlhar o seu script para pegar o IP verdadeiro da conexão TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar no SIP_HEADER, que, como eu disse, pode ser spoofado. Muito obrigado por sua ajuda! ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Fico contente que temos na lista pessoas que gostam de ensinar de forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos comentários pontuais. 2013/7/31 Marcio - Google marci...@gmail.com: Já ouviu falar de Cisco, Juniper, WatchGuard??? Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho de séculos em séculos :P Serve a SonicWall? Fortinet? Check Point? Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de médio-porte pra cima, no minimo seu servidor teria caído. Só 6 tentativas por segundo não é nada, e mostra que o cracker que tentou é um micreiro. Bom, você com certeza entende muito de segurança mas pouco de ataques. E isso deve ser bom, porque quem se protege não precisa se preocupar com ataques - muito menos conhecê-los, não é mesmo? Não sei se você sabe mas logo após uma invasão você sabe o que o cracker/hacker/lammer faz? Consertar a falha para que ninguém use a mesma brecha. Afinal, ninguém quer dividir a invasão com outro scriptkiddie. E por que você acha que algum atacante iria querer DERRUBAR A SUA MÁQUINA? Qual a LÓGICA em derrubar? Pense um pouquinho... só por dois segundos: se o cara enviar N mil conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade, como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua máquina. São antagônicos. Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar um servidor o qual você pretende invadir? Estou falando de INVASÃO, não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma palestra na penúltima reunião do GTS de um grupo de segurança que investigou , esse povo que faz descarga de VoIP são muito bem organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que querem usar. É muita, muita burrice fazer isso. Usando suas sábias palavras, oh my god, uma sandice derrubar algo que você quer usar. Por isso, um ataque micro - ou nano - é o mais recomendado. Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do Asterisk pode ser facilmente jogado para um arquivo e virar log para analise. E? E dai? O que adianta um log inválido? Com poucas informações ou informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que vem nos ataques de brute force são geralmente spoofados... Não adianta gravar logs inúteis. O IP que aparece na maioria dos ataques (SIP HEADER) é spoofado. Não pesquisei a fundo mas não me lembro que o asterisk consiga capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula para todos nós que ainda estamos começando na vida, Você poderia compartlhar o seu script para pegar o IP verdadeiro da conexão TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar no SIP_HEADER, que, como eu disse, pode ser spoofado. Muito obrigado por sua ajuda! ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Grande Keller! Muito bem colocado e explicado! Dá mesma forma que um monte roda como *root*, deve ter mais ainda usando contexto *default* e mascara *.* e *!*. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 15:13, Alex Sander sanderda...@globo.com escreveu: Pois é Caio, na minha parca experiência, sempre aprendi que as melhores soluções são as mais simples... Vou montar um server de 10 ramais para o cliente e explicar que vai me pagar uns 7K de servidor e serviços e mais 100K de equipamentos de segurança de redes... Att, Em 31 de julho de 2013 15:55, Caio Pato caiop...@gmail.com escreveu: Fico contente que temos na lista pessoas que gostam de ensinar de forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos comentários pontuais. 2013/7/31 Marcio - Google marci...@gmail.com: Já ouviu falar de Cisco, Juniper, WatchGuard??? Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho de séculos em séculos :P Serve a SonicWall? Fortinet? Check Point? Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de médio-porte pra cima, no minimo seu servidor teria caído. Só 6 tentativas por segundo não é nada, e mostra que o cracker que tentou é um micreiro. Bom, você com certeza entende muito de segurança mas pouco de ataques. E isso deve ser bom, porque quem se protege não precisa se preocupar com ataques - muito menos conhecê-los, não é mesmo? Não sei se você sabe mas logo após uma invasão você sabe o que o cracker/hacker/lammer faz? Consertar a falha para que ninguém use a mesma brecha. Afinal, ninguém quer dividir a invasão com outro scriptkiddie. E por que você acha que algum atacante iria querer DERRUBAR A SUA MÁQUINA? Qual a LÓGICA em derrubar? Pense um pouquinho... só por dois segundos: se o cara enviar N mil conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade, como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua máquina. São antagônicos. Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar um servidor o qual você pretende invadir? Estou falando de INVASÃO, não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma palestra na penúltima reunião do GTS de um grupo de segurança que investigou , esse povo que faz descarga de VoIP são muito bem organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que querem usar. É muita, muita burrice fazer isso. Usando suas sábias palavras, oh my god, uma sandice derrubar algo que você quer usar. Por isso, um ataque micro - ou nano - é o mais recomendado. Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do Asterisk pode ser facilmente jogado para um arquivo e virar log para analise. E? E dai? O que adianta um log inválido? Com poucas informações ou informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que vem nos ataques de brute force são geralmente spoofados... Não adianta gravar logs inúteis. O IP que aparece na maioria dos ataques (SIP HEADER) é spoofado. Não pesquisei a fundo mas não me lembro que o asterisk consiga capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula para todos nós que ainda estamos começando na vida, Você poderia compartlhar o seu script para pegar o IP verdadeiro da conexão TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar no SIP_HEADER, que, como eu disse, pode ser spoofado. Muito obrigado por sua ajuda! ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para
Re: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49
Danilo, Não sou contra perguntas de iniciante, já fui um dia, como todos. Também não sou contra receitas de bolo, gosto delas e aprendo até melhor com elas. Sou contra gambiarra, serviços amadores e gente preguiçosa. Nem gente que pede receita de bolo, usa sem nem ao menos tentar entender o que faz e pronto, não se preocupa em aprender nada. Na próxima, mesmo que já tenha a receita e seja preciso mudar um ponto, não sabe e pede outra receita. Ou outros que na primeira dúvida postam na lista, sem ao menos se dignar a verificar no histórico dela se isso já foi respondido, ou pelo menos pesquisar no Google. Não vou nem entrar no mérito da documentação, pois grande parte está em Inglês e muitos tem dificuldade com a língua. Cara que é tão preguiçoso, que como já citei, pega o fragmento de log que tem a explicação do erro e posta na lista perguntando o que é. Ah tá, não sabe inglês, essa é a desculpa! O Google tem um tradutor de graça, não é um primor, mais quebra meia dúzia de galhos. Tenho o maior prazer em ensinar quem quer aprender! Agora, quanto aos que querem se dar bem com o conhecimento alheio, quero distância! E é o que não falta. O pior é os que não sabem e tentam se passar pelos supra-sumos do assunto. Tem uma frase que diz tudo: O primeiro sinal de ignorância é presumirmos que sabemos. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 15:32, Marcio - Google marci...@gmail.com escreveu: Grande Keller! Muito bem colocado e explicado! Dá mesma forma que um monte roda como *root*, deve ter mais ainda usando contexto *default* e mascara *.* e *!*. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 31 de julho de 2013 15:13, Alex Sander sanderda...@globo.comescreveu: Pois é Caio, na minha parca experiência, sempre aprendi que as melhores soluções são as mais simples... Vou montar um server de 10 ramais para o cliente e explicar que vai me pagar uns 7K de servidor e serviços e mais 100K de equipamentos de segurança de redes... Att, Em 31 de julho de 2013 15:55, Caio Pato caiop...@gmail.com escreveu: Fico contente que temos na lista pessoas que gostam de ensinar de forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos comentários pontuais. 2013/7/31 Marcio - Google marci...@gmail.com: Já ouviu falar de Cisco, Juniper, WatchGuard??? Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho de séculos em séculos :P Serve a SonicWall? Fortinet? Check Point? Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de médio-porte pra cima, no minimo seu servidor teria caído. Só 6 tentativas por segundo não é nada, e mostra que o cracker que tentou é um micreiro. Bom, você com certeza entende muito de segurança mas pouco de ataques. E isso deve ser bom, porque quem se protege não precisa se preocupar com ataques - muito menos conhecê-los, não é mesmo? Não sei se você sabe mas logo após uma invasão você sabe o que o cracker/hacker/lammer faz? Consertar a falha para que ninguém use a mesma brecha. Afinal, ninguém quer dividir a invasão com outro scriptkiddie. E por que você acha que algum atacante iria querer DERRUBAR A SUA MÁQUINA? Qual a LÓGICA em derrubar? Pense um pouquinho... só por dois segundos: se o cara enviar N mil conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade, como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua máquina. São antagônicos. Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar um servidor o qual você pretende invadir? Estou falando de INVASÃO, não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma palestra na penúltima reunião do GTS de um grupo de segurança que investigou , esse povo que faz descarga de VoIP são muito bem organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que querem usar. É muita, muita burrice fazer isso. Usando suas sábias palavras, oh my god, uma sandice derrubar algo que você quer usar. Por isso, um ataque micro - ou nano - é o mais recomendado. Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do Asterisk pode ser facilmente jogado para um arquivo e virar log para analise. E? E dai? O que adianta um log inválido? Com poucas informações ou informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que vem nos ataques de brute force são geralmente spoofados... Não adianta gravar logs inúteis. O IP que aparece na maioria dos ataques (SIP HEADER) é spoofado. Não pesquisei a fundo mas não me lembro que o asterisk consiga capturar o IP verdadeiro.
