Re: [FRnOG] [ALERT] Hacker SIP hébergé chez Online

[Pierre DOLIDON]

Si tu as un asterisk (11 pour ma part, les versions avant ne logguent 
pas l'IP) cette failregex de fail2ban fonctionne bien :

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - 
Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- Peer is not supposed to register
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- ACL error (permit/deny)
            NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' 
- Device does not match ACL
            NOTICE.* <HOST>:.* failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>:.*\)
            NOTICE.* .*: Host <HOST>:.* failed MD5 authentication for 
'.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>:.*.*
            NOTICE.* .*: Sending fake auth rejection for device 
.*\<sip:.*\@<HOST>:.*\>;tag=.*
            NOTICE.* .*: Registration from '\".*\".*' failed for 
'<HOST>:.*' - No matching peer found
            NOTICE.* .*: Registration from '\".*\".*' failed for 
'<HOST>:.*' - Wrong password
SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$

avec les logs "security" dans la conf du logger asterisk



Le 11/09/2015 12:26, Manu a écrit :
'jour

Le 11/09/2015 12:14, chahid ouarzoun a écrit :
envoyer des abuses sert a rien, les gars ont déjà trop de taf, 
protège toi
mieux c est le seul moyen

C'est pas "trop de taf". Si je comprends, les abuse sont transférées à 
celui qui est derrière l'IP, cad normalement l'admin du serveur. Sauf 
que, effectivement, je suis pas sûr que la masse de ceux qui louent un 
serveur sachent vraiment l'administrer, détecter un hack etc etc.

Au final oui, il est plus rapide/efficace de monter une sécurité un 
peu réactive que de tenter de contacter les abuse@ :-) (je le fais 
parfois..)



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/