Si tu as un asterisk (11 pour ma part, les versions avant ne logguent pas l'IP) cette failregex de fail2ban fonctionne bien :

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Username/auth name mismatch NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - ACL error (permit/deny) NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Device does not match ACL
            NOTICE.* <HOST>:.* failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>:.*\)
NOTICE.* .*: Host <HOST>:.* failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>:.*.*
NOTICE.* .*: Sending fake auth rejection for device .*\<sip:.*\@<HOST>:.*\>;tag=.* NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - No matching peer found NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>:.*' - Wrong password
SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$


avec les logs "security" dans la conf du logger asterisk



Le 11/09/2015 12:26, Manu a écrit :
'jour

Le 11/09/2015 12:14, chahid ouarzoun a écrit :
envoyer des abuses sert a rien, les gars ont déjà trop de taf, protège toi
mieux c est le seul moyen

C'est pas "trop de taf". Si je comprends, les abuse sont transférées à celui qui est derrière l'IP, cad normalement l'admin du serveur. Sauf que, effectivement, je suis pas sûr que la masse de ceux qui louent un serveur sachent vraiment l'administrer, détecter un hack etc etc.

Au final oui, il est plus rapide/efficace de monter une sécurité un peu réactive que de tenter de contacter les abuse@ :-) (je le fais parfois..)



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à