Eu já tinha ouvido falar deste fato de hora retornar inexistente hora invalido.
E por segurança a resposta sempre deveria ser usuário OU senha inválido. O que fiz por orientação da lista mesmo alwaysauthreject=yes no sip.conf Ouvi falar do fail to ban mas não implantei. A algum tempo implantei um firewall layer 7 em uma RouterBoard se o cara receber um SIP/2.0 403 enviado por uma porta 5060 de alguém da interface interna para qualquer porta saindo pela interface de internet é banido por X horas. Lembrando a RouterBoard usa iptables e o projeto de firewall 7-layer. Em um Linux tem que copiar o arquivo da pasta de protocolos do 7-layer e editar ele para conter algo como "sip\/[1-2]\.[0-9].403" não coloque o "^"pra indicar inicio pois a primeira resposta não é 403, costuma ser 401 para indicar que tem que usar senha e como é udp considera o mesmo stream o que torna o segundo pacote uma continuação. Alguém pode melhorar a string colocando um numero fixo de caracteres que existe no primeiro pacote. From: asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] On Behalf Of jose Sent: terça-feira, 15 de março de 2011 14:01 To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] invasao Eder O pior de tudo é que nao tem tentativa de acesso nos ramais como normalmente é feito, entrou pelo contexto from-sip-external Obrigado a todos pelas respostas abçs From: Eder Souza <mailto:eder.so...@bsd.com.br> Sent: Tuesday, March 15, 2011 9:41 AM To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] invasao É bem provável que que esta sofrendo ataque pela porta UDP 5060(SIP) com envio de informçãoes forjadas para simular registro em seu servidor Asterisk! Desta maneira o protocolo SIP sempre da uma resposta de retorno e assim se consegue informação de ramais válidos dos seu servidor o mesmo acontece para as suas senhas. tudo é venviado um range entre 1 à 999 e todos os retornos sao analisados então apartir dos retornos dos ramais válidos se inicia um outro ataque por dicionarios a procura das senhas fracas de cada ramal válido! Com o Ramal na mão e com a senha eles se conectam em seu servidor e tentam iniciar ligações ! Em meus testes contrui 1 script que faz algo parecido para achar ramais válidos remotamente ! http://ederwander.wordpress.com/2010/07/30/sip-protocol-danger/ PS: modo primitivo que demonstra como é feito tudo ... Olhe com atenção em seus logs /var/log/asterisk/messages é bem provável que vai encontrar varias tentativas de acesso a ramais ! Ainda existe a possibilidade de discar sem cair no seu dialplan e burlar qualquer tipo de contexto :-(. Este método ainda é totalmente desconhecido pelos atacantes para a nossa sorte.. Att, Eng Eder de Souza Em 15 de março de 2011 09:22, jose <jasanc...@terra.com.br> escreveu: Bom dia Pessoal Algum especialista poderia me explicar como esta acontecendo essa invasao abaixo: Obrigado -- Executing [00442070661000@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Received incoming SIP connection from unknown peer to 00442070661000") in new stack -- Executing [00442070661000@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=00442070661000") in new stack -- Executing [00442070661000@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack -- Goto (from-sip-external,s,1) -- Executing [s@from-sip-external:1] GotoIf("SIP/94.136.54.147-086b6658", "0?from-trunk|00442070661000|1") in new stack -- Executing [s@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "TIMEOUT(absolute)=15") in new stack -- Channel will hangup at 2011-03-15 03:45:15 UTC. -- Executing [s@from-sip-external:3] Answer("SIP/94.136.54.147-086b6658", "") in new stack -- Executing [s@from-sip-external:4] Wait("SIP/94.136.54.147-086b6658", "2") in new stack == Spawn extension (from-sip-external, s, 4) exited non-zero on 'SIP/94.136.54.147-086b6658' -- Executing [h@from-sip-external:1] NoOp("SIP/94.136.54.147-086b6658", "Hangup") in new stack -- Executing [h@from-sip-external:2] Set("SIP/94.136.54.147-086b6658", "DID=s") in new stack -- Executing [h@from-sip-external:3] Goto("SIP/94.136.54.147-086b6658", "s|1") in new stack -- Goto (from-sip-external,s,1) _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ________________________________ _______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org A informação contida nesta mensagem é confidencial e de propriedade da Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja informado de que qualquer mensagem endereçada ao domínio da Fidelity está sujeita ao arquivamento e leitura por outros membros da companhia, além do próprio destinatário da mensagem. A Fidelity agradece a sua colaboração. The information contained in this message is proprietary and/or confidential. If you are not the intended recipient, please: (i) delete the message and all copies; (ii) do not disclose, distribute or use the message in any manner; and (iii) notify the sender immediately. In addition, please be aware that any message addressed to our domain is subject to archiving and review by persons other than the intended recipient. Thank you.
_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ Headsets Plantronics com o melhor preço do Brasil. Acesse agora www.voipmania.com.br VOIPMANIA STORE ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
