Le 11/09/2015 12:39, Pierre DOLIDON a écrit : et une petite regle qui drop les scanners, ça en élimine déjà pas mal :
# Drop sipvicious iptables -A INPUT -m string --string "friendly-scanner" --algo bm -p udp --dport 5060 -j DROP iptables -A INPUT -m string --string "sipcli" --algo bm -p udp --dport 5060 -j DROP > Si tu as un asterisk (11 pour ma part, les versions avant ne logguent > pas l'IP) cette failregex de fail2ban fonctionne bien : > > failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Wrong password > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - No matching peer found > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - No matching peer found > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Username/auth name mismatch > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Device does not match ACL > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Peer is not supposed to register > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - ACL error (permit/deny) > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Device does not match ACL > NOTICE.* <HOST>:.* failed to authenticate as '.*'$ > NOTICE.* .*: No registration for peer '.*' \(from <HOST>:.*\) > NOTICE.* .*: Host <HOST>:.* failed MD5 authentication for > '.*' (.*) > NOTICE.* .*: Failed to authenticate user .*@<HOST>:.*.* > NOTICE.* .*: Sending fake auth rejection for device > .*\<sip:.*\@<HOST>:.*\>;tag=.* > NOTICE.* .*: Registration from '\".*\".*' failed for > '<HOST>:.*' - No matching peer found > NOTICE.* .*: Registration from '\".*\".*' failed for > '<HOST>:.*' - Wrong password > SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$ > > > > avec les logs "security" dans la conf du logger asterisk > > > > Le 11/09/2015 12:26, Manu a écrit : >> 'jour >> >> Le 11/09/2015 12:14, chahid ouarzoun a écrit : >>> envoyer des abuses sert a rien, les gars ont déjà trop de taf, >>> protège toi >>> mieux c est le seul moyen >> >> C'est pas "trop de taf". Si je comprends, les abuse sont transférées >> à celui qui est derrière l'IP, cad normalement l'admin du serveur. >> Sauf que, effectivement, je suis pas sûr que la masse de ceux qui >> louent un serveur sachent vraiment l'administrer, détecter un hack >> etc etc. >> >> Au final oui, il est plus rapide/efficace de monter une sécurité un >> peu réactive que de tenter de contacter les abuse@ :-) (je le fais >> parfois..) >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ Le 11/09/2015 12:39, Pierre DOLIDON a écrit : > Si tu as un asterisk (11 pour ma part, les versions avant ne logguent > pas l'IP) cette failregex de fail2ban fonctionne bien : > > failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Wrong password > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - No matching peer found > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - No matching peer found > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Username/auth name mismatch > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Device does not match ACL > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Peer is not supposed to register > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - ACL error (permit/deny) > NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' > - Device does not match ACL > NOTICE.* <HOST>:.* failed to authenticate as '.*'$ > NOTICE.* .*: No registration for peer '.*' \(from <HOST>:.*\) > NOTICE.* .*: Host <HOST>:.* failed MD5 authentication for > '.*' (.*) > NOTICE.* .*: Failed to authenticate user .*@<HOST>:.*.* > NOTICE.* .*: Sending fake auth rejection for device > .*\<sip:.*\@<HOST>:.*\>;tag=.* > NOTICE.* .*: Registration from '\".*\".*' failed for > '<HOST>:.*' - No matching peer found > NOTICE.* .*: Registration from '\".*\".*' failed for > '<HOST>:.*' - Wrong password > SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="[\d-]+",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="\d+",SessionID="0x[\da-f]+",LocalAddress="IPV[46]/(UD|TC)P/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UD|TC)P/<HOST>/\d+"(,Challenge="\w+",ReceivedChallenge="\w+")?(,ReceivedHash="[\da-f]+")?$ > > > > avec les logs "security" dans la conf du logger asterisk > > > > Le 11/09/2015 12:26, Manu a écrit : >> 'jour >> >> Le 11/09/2015 12:14, chahid ouarzoun a écrit : >>> envoyer des abuses sert a rien, les gars ont déjà trop de taf, >>> protège toi >>> mieux c est le seul moyen >> >> C'est pas "trop de taf". Si je comprends, les abuse sont transférées >> à celui qui est derrière l'IP, cad normalement l'admin du serveur. >> Sauf que, effectivement, je suis pas sûr que la masse de ceux qui >> louent un serveur sachent vraiment l'administrer, détecter un hack >> etc etc. >> >> Au final oui, il est plus rapide/efficace de monter une sécurité un >> peu réactive que de tenter de contacter les abuse@ :-) (je le fais >> parfois..) >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
