Tinha o mesmo tipo de problema em um cliente. Todos os ataques vinham de fora do país, implementei o fail2ban e bloqueei todos os IPs de fora do país no IPtables e o problema foi resolvido.
Boa sorte, João Marcelo Em 30/05/2011, às 03:12, alessandro (listas) escreveu: > Pelo que eu pude detectar, analisando algumas tentativas de invasões: > 1) Os ataques sempre partem de IPs de fora do país. Acredito que pelo > custo e facilidade de se locar algo fora. Existem também o menor risco do > responsável ser identificado e punido. > 2) Todas as tentativas de ataque se dão com ramais de logins numéricos. > Eles começam testando 0000 e vão até 9999. Se você usar login de ramal > alfanumérico, quebra as pernas deles. > 3) As combinações de senhas são ridiculamente fáceis. Se o ramal usar uma > senha de 8 dígitos, alfanumérico, dificilmente será hackeado. > 4) Os ataques são feitos em 2 etapas: primeiro testa-se usuário e senha, > sem mandar chamadas. Depois, de posse de usuário e senha válidos, manda-se a > chamada. Assim, fica menos evidente as falhas no CDR. > 5) Quanto aos dispositivos, alguém sugeriu bloquear por inválidos. Porém, > pelo menos aqui na minha análise, são a minoria. Boa parte deles vem > identificado como softphone Eyebeam. > Como já foi amplamente discutido, o fail2ban é uma alternativa barata e > viável. Meu receio é que, como ele analisa os logs do Asterisk, pode causar > perda de performance pro servidor em questão. > > 2011/4/20 Jose Eduardo Constantino Mazolini <jose.mazol...@fnis.com.br> > Eu falei sobre isso com conexão TCP olhando syn. > > E analisando string do pacote udp, mas estava usando mikrotik que adiciona o > ip em uma tabela. > > Acho que o que a mikrotik faz o iptables faz, mas não sei exatamente como. > > Também modifiquei a resposta do asterisk para ser senha invalida para devices > inexistentes. > > > From: asteriskbrasil-boun...@listas.asteriskbrasil.org > [mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] On Behalf Of Thiago > Bruni Tawil > Sent: terça-feira, 19 de abril de 2011 18:51 > > > To: asteriskbrasil@listas.asteriskbrasil.org > Subject: Re: [AsteriskBrasil] Ajuda com brute force > > > O fail2ban possuí esse recurso, mas ele não analisa pacotes e sim o arquivo > de log do asterisk. Voce pode inclusive determinar quanto tempo vai durar o > DROP... > Abraços > > No dia 19 de Abr de 2011 15:29, "Alexandre Ricardo Souza Silva" > <alexan...@componentizar.com.br> escreveu: > > Thiago, > > > > tem uma outra maneira de fazer este bloqueo com Iptables e um analisador de > > pacotes, onde se vc tiver um x numero de tentativas em segundos vc bloqueia > > o Ip de origem, eu vi alguma coisa parecida aqui no forum, nao me lembro > > muito bem a ferramenta usada, se eu lembrar informo aqui a todos. > > > > > > > > Abraço > > > > > > Alexandre > > ----- Original Message ----- > > From: Thiago Bruni Tawil > > To: asteriskbrasil@listas.asteriskbrasil.org > > Sent: Tuesday, April 19, 2011 7:59 AM > > Subject: Re: [AsteriskBrasil] Ajuda com brute force > > > > > > Cara, a melhor alternativa que eu encontrei ate hj é o fail2ban.... não eh > > tão complicado de entender e funciona muito bem... abraços... > > > > Em 18/04/2011 19:34, "Renan Nóbrega" <renandeso...@gmail.com> escreveu: > > > Creio que a essa altura do campeonato o problema tenha sido resolvido. Uma > > > boa opção momentânea é bloquear o IP invasor no firewall via iptables. > > > Taca > > > um DROP nele que para na hora. > > > > > > 2011/4/18 Wesley MAX WIFI TELECOM <xcyber...@hotmail.com> > > > > > >> não percebi que tinha feito isso tem com apagar da lista não > > >> > > >> ------------------------------ > > >> From: j...@bol.com.br > > >> Date: Mon, 18 Apr 2011 08:49:33 -0300 > > >> > > >> To: asteriskbrasil@listas.asteriskbrasil.org > > >> Subject: Re: [AsteriskBrasil] Ajuda com brute force > > >> > > >> > > >> Como falado anteriormente, utilize o fail2ban. > > >> E mais uma dica, da próxima vez que postar o log não poste o IP do > > >> servidor. > > >> > > >> Boa sorte, > > >> > > >> João Marcelo > > >> > > >> > > >> Em 17/04/2011, às 19:25, Wesley MAX WIFI TELECOM escreveu: > > >> > > >> Ajuda com brute force estão tentando logar. em conta sip em meu servidor > > >> ate agora ele não deram conta, pois sempre ativo host = meu ip fixo mais > > >> meu > > >> log já esta muito grande de tantas tentativas que eles estão fazendo e > > >> quero > > >> bloquear eles será que tem alguma ferramenta para que eu possa bloquear > > >> essas tentativa e deixar meu asterisk mais seguro > > >> > > >> > > >> > > >> > > >> Tentativas no LOG > > >> > > >> > > >> > > >> > > >> '"30" <sip:30@187.28.52.10>' failed for '112.107.3.152' - Peer is not > > >> supposed to register > > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to > > >> register, > > >> but not configured as host=dynamic > > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" < > > >> sip:100@187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed > > >> to register > > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to > > >> register, > > >> but not configured as host=dynamic > > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" < > > >> sip:100@187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed > > >> to register > > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '100' is trying to > > >> register, > > >> but not configured as host=dynamic > > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"100" < > > >> sip:100@187.28.52.10>' failed for '65.111.166.219' - Peer is not supposed > > >> to register > > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying to > > >> register, > > >> but not configured as host=dynamic > > >> [Apr 17 18:19:44] NOTICE[3228] chan_sip.c: Registration from '"30" < > > >> sip:30@187.28.52.10>' failed for '112.107.3.152' - Peer is not supposed > > >> to > > >> register > > >> [Apr 17 18:19:44] ERROR[3228] chan_sip.c: Peer '30' is trying > > >> _______________________________________________ > > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > >> - Suporte técnico local qualificado e gratuito > > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > >> _______________________________________________ > > >> DIGIVOICE: Lider no mercado de placas para Asterisk > > >> Único fabricante com Centro de Treinamento especializado. > > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. > > >> www.digivoice.com.br ou (11)3016-5200. > > >> ________ > > >> Lista de discussões AsteriskBrasil.org > > >> AsteriskBrasil@listas.asteriskbrasil.org > > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > >> ______________________________________________ > > >> Para remover seu email desta lista, basta enviar um email em branco para > > >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > >> > > >> > > >> > > >> _______________________________________________ KHOMP: qualidade em > > >> placas > > >> de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade > > >> de > > >> recursos e qualidade KHOMP - Suporte t�cnico local qualificado e gratuito > > >> Conhe�a a linha completa de produtos KHOMP em > > >> www.khomp.com.br_______________________________________________ > > >> DIGIVOICE: Lider no mercado > > >> de placas para Asterisk �nico fabricante com Centro de Treinamento > > >> especializado. LAN�AMENTO: Channel Bank TDMoE, at� 64 canais FXS / FXO. > > >> www.digivoice.com.br ou (11)3016-5200. ________ Lista de discuss�es > > >> AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org > > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil______________________________________________ > > >> Para remover seu email desta > > >> lista, basta enviar um email em branco para > > >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > >> > > >> _______________________________________________ > > >> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > >> - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > >> - Suporte técnico local qualificado e gratuito > > >> Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > >> _______________________________________________ > > >> DIGIVOICE: Lider no mercado de placas para Asterisk > > >> Único fabricante com Centro de Treinamento especializado. > > >> LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. > > >> www.digivoice.com.br ou (11)3016-5200. > > >> ________ > > >> Lista de discussões AsteriskBrasil.org > > >> AsteriskBrasil@listas.asteriskbrasil.org > > >> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > >> ______________________________________________ > > >> Para remover seu email desta lista, basta enviar um email em branco para > > >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > >> > > > > > > > > > > > > -- > > > Renan Nóbrega > > > +55 83 88177548 , +55 83 81498995 > > > > > > > > > > ------------------------------------------------------------------------------ > > > > > > _______________________________________________ > > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > > - Suporte técnico local qualificado e gratuito > > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > > _______________________________________________ > > DIGIVOICE: Lider no mercado de placas para Asterisk > > Único fabricante com Centro de Treinamento especializado. > > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. > > www.digivoice.com.br ou (11)3016-5200. > > ________ > > Lista de discussões AsteriskBrasil.org > > AsteriskBrasil@listas.asteriskbrasil.org > > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > > ______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > > > A informação contida nesta mensagem é confidencial e de propriedade da > Fidelity Processadora e Serviços S/A. Se você recebeu este e-mail por engano, > por favor: (i) apague a mensagem e todas as suas cópias e anexos; (ii) não > revele, distribua ou utilize a mensagem ou seu conteúdo de qualquer maneira; > e (iii) notifique o remetente imediatamente. Adicionalmente, por favor esteja > informado de que qualquer mensagem endereçada ao domínio da Fidelity está > sujeita ao arquivamento e leitura por outros membros da companhia, além do > próprio destinatário da mensagem. A Fidelity agradece a sua colaboração. > > The information contained in this message is proprietary and/or confidential. > If you are not the intended recipient, please: (i) delete the message and all > copies; (ii) do not disclose, distribute or use the message in any manner; > and (iii) notify the sender immediately. In addition, please be aware that > any message addressed to our domain is subject to archiving and review by > persons other than the intended recipient. Thank you. > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > DIGIVOICE: Lider no mercado de placas para Asterisk > Único fabricante com Centro de Treinamento especializado. > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. > www.digivoice.com.br ou (11)3016-5200. > ________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > ______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > _______________________________________________ > KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. > - Hardware com alta disponibilidade de recursos e qualidade KHOMP > - Suporte técnico local qualificado e gratuito > Conheça a linha completa de produtos KHOMP em www.khomp.com.br > _______________________________________________ > DIGIVOICE: Lider no mercado de placas para Asterisk > Único fabricante com Centro de Treinamento especializado. > LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. > www.digivoice.com.br ou (11)3016-5200. > ________ > Lista de discussões AsteriskBrasil.org > AsteriskBrasil@listas.asteriskbrasil.org > http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil > ______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________ KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk. - Hardware com alta disponibilidade de recursos e qualidade KHOMP - Suporte técnico local qualificado e gratuito Conheça a linha completa de produtos KHOMP em www.khomp.com.br _______________________________________________ DIGIVOICE: Lider no mercado de placas para Asterisk Único fabricante com Centro de Treinamento especializado. LANÇAMENTO: Channel Bank TDMoE, até 64 canais FXS / FXO. www.digivoice.com.br ou (11)3016-5200. ________ Lista de discussões AsteriskBrasil.org AsteriskBrasil@listas.asteriskbrasil.org http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil ______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org