Gente, eu não uso Fail2ban. Como esses ataques são oriundos de
redes externas ao BR, fiz o bloqueio de todas as redes cujam origem não
são BR. E resolveu!! Não tenho problemas c/ ataques mais... Os logs do
meu Asterisk nunca mais exibiram tentativa de logar via sip nos meus
servidores. Veja o código abaixo que é bem simples, libero apenas as
redes que estão listadas, depois fecho tudo. Se não tiver necessidade
de ter alguém externo que logue no seu servidor, o código abaixo
resolve. Desative todas suas regras de iptables, desative todos os
firewall´s e rode o script abaixo.
#!/bin/bash
ipt=/sbin/iptables
$ipt -F
$ipt -A INPUT -i eth2 -s 172.16.5.0/24 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 186.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 187.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 177.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 179.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 189.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 198.50.96.130 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 200.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -s 201.0.0.0/8 -p udp -j ACCEPT
$ipt -A INPUT -i eth2 -p udp -j DROP
Em 31/07/2013 13:12, Danilo Almeida escreveu:
recebi várias tentativas neste final de semana, porém, o fail2ban
bloqueiou.
DROP all -- 173.242.120.42 <tel:173.242.120.42> anywhere
Nome do Host: 173.242.120.42 <tel:173.242.120.42>
IP Address: 173.242.120.42 <tel:173.242.120.42>
País: United States <http://en.wikipedia.org/wiki/united%20states>
united states
Código do país: US (USA)
Região: Pennsylvania <http://en.wikipedia.org/wiki/Pennsylvania>
Cidade: Clarks Summit
Código postal: 18411
Código tel.: +1 <http://en.wikipedia.org/wiki/Area_code#United_States>
Longitude: -75.728
Latitude: 41.4486
[2013-07-27 15:09:35] NOTICE[1775] chan_sip.c: Registration from
'"shuang" <sip:shuang@IP-Servidor>' failed for '173.242.120.42:5061
<http://173.242.120.42:5061>' - Wrong password
[2013-07-28 15:09:43] NOTICE[1775] chan_sip.c: Registration from
'"chu" <sip:chu@IP-servidor>' failed for '173.242.120.42:5081
<http://173.242.120.42:5081>' - Wrong password
[2013-07-29 15:09:45] NOTICE[1775] chan_sip.c: Registration from
'"chu" <sip:chu@IP-servidor>' failed for '173.242.120.42:5081
<http://173.242.120.42:5081>' - Wrong password
[2013-07-30 15:09:47] NOTICE[1775] chan_sip.c: Registration from
'"chu" <sip:chu@IP-servido>' failed for '173.242.120.42:5081
<http://173.242.120.42:5081>' - Wrong password
se observarem, eu bloqueio as tentativas por 24 horas, sendo assim, o
invasor permanecia tentando no dia seguinte, agora dei um BAN
permanente nele... rsrs
Em 31 de julho de 2013 12:50, Thiago Anselmo
<thiagoo.ansel...@gmail.com <mailto:thiagoo.ansel...@gmail.com>> escreveu:
Amigo,
Já teve outro amigo aqui da lista que teve o mesmo problema, e o
mesmo o fail2ban não pegou, pois eles não atacam penas 5060,
existe outras fomras!!
Como está ligado seu PABX? Está atrás de NAT ou diretamente um IP
público ligado a ele?
me diga que podemos realizar formas de fazer com o IPTABLES!! E
fica bom!!!
Bloqueia tudo e libera apenas para quem você deseja!
Em 31 de julho de 2013 12:40, Marcio - Google <marci...@gmail.com
<mailto:marci...@gmail.com>> escreveu:
Exatamente o que o Hudson disse ...
Falha no dimensionamento e configuração.
[...]'s
Marcio
========================================
########### Campanha Ajude o Marcio! ###########
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
========================================
Em 31 de julho de 2013 11:06, Hudson Cardoso
<hudsoncard...@hotmail.com <mailto:hudsoncard...@hotmail.com>>
escreveu:
O Fail2ban não pegou, porque ele ja conseguiu passar,
isso significa que o teu firewall não está corretamente
dimensionado, e/ou configurado.
No meu se fizer 3 tentativas, bloqueia por 15 minutos, e
quando um guest pede acesso ao diaplan, simplesmente
dou HangUp em todos os Guest.
Hudson
(048) 8413-7000 <tel:%28048%29%208413-7000>
Para quem nao cre, nenhuma prova converte,Para aquele que cre,
nenhuma prova precisa.
> From: caiop...@gmail.com <mailto:caiop...@gmail.com>
> Date: Wed, 31 Jul 2013 11:47:25 -0300
> To: asteriskbrasil@listas.asteriskbrasil.org
<mailto:asteriskbrasil@listas.asteriskbrasil.org>
> Subject: [AsteriskBrasil] Ataque massivo a partir do IP
67.207.137.49 <tel:67.207.137.49>
>
> Eu estava sendo vítima de uma tentativa de ataque a
partir do IP
> 67.207.137.49 <tel:67.207.137.49> (Rackspace Cloud Servers),
> Foram 3548 tentativas em 10 minutos até ser bloqueado
manualmente no iptables.
> Não investiguei a fundo o método do ataque, mas
basicamente ele estava
> tentando cavar uma falha no dialplan.
>
> No console apareceu:
> Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903
get_destination: Huh?
> Not a SIP header (tel:1900442075005000)?
> ...
> Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903
get_destination: Huh?
> Not a SIP header (tel:2440900442075005000)?
>
> Note que o atacando manteve o sufixo e alterava só o
prefixo (19, 29,
> 39, .... até chegar no 24409 quando eu bloqueei via
iptables.
>
> Esse tipo de ataque NÃO É identificado pelo fail2ban
pois não há logs gerados.
>
> O telefone 00442075005000 pertence a um banco (Citi) em
Londres. Pode
> ser apenas um número teste - se o atacante receber
"CONNECT", a
> tentativa foi bem sucedida e ele descarrega um caminhão
de chamadas
> para outros destinos.
>
> Então vale o eterno conselho: fique de olho - não confie
só no fail2ban.
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP.
Conheça em www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA -- Fabricante nacional de Gateways SIP-E1 para
R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank -- Appliance Asterisk - Acesse
www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um
email em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça
em www.Khomp.com <http://www.Khomp.com>.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acesse
www.aligera.com.br <http://www.aligera.com.br>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email
em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em
www.Khomp.com <http://www.Khomp.com>.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2,
ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
<http://www.aligera.com.br>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
--
Thiago Anselmo
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em
www.Khomp.com <http://www.Khomp.com>.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br
<http://www.aligera.com.br>.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em
branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
<mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org>
--
*att*
*Danilo Almeida*
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA -- Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank -- Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
_______________________________________________
ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
