Exatamente o que o Hudson disse ... Falha no dimensionamento e configuração.
[...]'s Marcio ======================================== ########### Campanha Ajude o Marcio! ########### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 ======================================== Em 31 de julho de 2013 11:06, Hudson Cardoso <hudsoncard...@hotmail.com>escreveu: > O Fail2ban não pegou, porque ele ja conseguiu passar, isso significa > que o teu firewall não está corretamente > dimensionado, e/ou configurado. > No meu se fizer 3 tentativas, bloqueia por 15 minutos, e quando um guest > pede acesso ao diaplan, simplesmente > dou HangUp em todos os Guest. > > > Hudson > (048) 8413-7000 > Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova > precisa. > > > > > From: caiop...@gmail.com > > Date: Wed, 31 Jul 2013 11:47:25 -0300 > > To: asteriskbrasil@listas.asteriskbrasil.org > > Subject: [AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49 > > > > > Eu estava sendo vítima de uma tentativa de ataque a partir do IP > > 67.207.137.49 (Rackspace Cloud Servers), > > Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no > iptables. > > Não investiguei a fundo o método do ataque, mas basicamente ele estava > > tentando cavar uma falha no dialplan. > > > > No console apareceu: > > Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? > > Not a SIP header (tel:1900442075005000)? > > ... > > Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh? > > Not a SIP header (tel:2440900442075005000)? > > > > Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29, > > 39, .... até chegar no 24409 quando eu bloqueei via iptables. > > > > Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs > gerados. > > > > O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode > > ser apenas um número teste - se o atacante receber "CONNECT", a > > tentativa foi bem sucedida e ele descarrega um caminhão de chamadas > > para outros destinos. > > > > Então vale o eterno conselho: fique de olho - não confie só no fail2ban. > > _______________________________________________ > > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > > _______________________________________________ > > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > > _______________________________________________ > > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em > www.Khomp.com. > _______________________________________________ > ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >
_______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org