subject:"\[AsteriskBrasil\] Res\: RES\: Vulnerabilidade Asterisk"

Re: [AsteriskBrasil] RES: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Eder Souza

Rafael foi invadido como nao tem os logs ?

Eng Eder de Souza

2009/11/4 Rafael Alves Machado 

>  Meu servidor foi invadido e consumiram em uma noite 16mil reais de nosso
> provedor pos-pago de voip.
>
>
>
> Hoje bloqueio a porta 5060 e libero somente para as redes que quero
>
>
>
> Rafael
>
> *De:* asteriskbrasil-boun...@listas.asteriskbrasil.org [mailto:
> asteriskbrasil-boun...@listas.asteriskbrasil.org] *Em nome de *Alexandre
> Cavalcante Alencar
> *Enviada em:* quarta-feira, 4 de novembro de 2009 15:33
>
> *Para:* asteriskbrasil@listas.asteriskbrasil.org
> *Assunto:* Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
>
>
>
> Olá, boa tarde,
>
>
> A reclamação deve ser feita ao provedor (Global Crossing) e ao NIC/CERT
> Brasil.
>
> Sds
>
>   2009/11/4 
>
> Eder,
>
> Boa tarde.
>
> Você não pode fazer uma reclamação formal a Global Crossing ???
>
> tracert 208.38.164.96
>
> Rastreando a rota para 208.38.164.96 com no máximo 30 saltos
>
>  1 *** Esgotado o tempo limite do pedido.
>  257 ms 5 ms 5 ms  201-0-92-89.dsl.telesp.net.br [201.0.92.89]
>  3 6 ms 5 ms 5 ms  200-100-3-153.dsl.telesp.net.br[200.100.3.153]
>
>  4 6 ms 5 ms 5 ms  200-100-98-201.dial-up.telesp.net.br[200.100.98
> .201]
>  5 7 ms 7 ms 7 ms
> Xe7-0-0-0-grtsanem2.red.telefonica-wholesale.net
>  [213.140.50.69]
>  6   120 ms   120 ms   121 ms
> Xe6-0-1-0-grtmiabr1.red.telefonica-wholesale.net
>  [84.16.15.42]
>  7   159 ms   171 ms   159 ms
> Xe-1-1-0-0-grtwaseq3.red.telefonica-wholesale.ne
> t [84.16.13.57]
>  8   169 ms   176 ms *
> GlobalCrossing2-0-0-0-grtwaseq3.red.telefonica-w
> holesale.net [213.140.55.90]
>  9   173 ms   172 ms   172 ms  64.209.96.18
>  10   184 ms   176 ms   177 ms  v996.core1.esnet.com [216.139.207.17]
>  11   181 ms   181 ms   173 ms  208.38.164.96
>
> Rastreamento concluído.
>
> Sds,
> Cooky
>
> --
> Alexandre Alencar (Skarmeth)
> http://blog.alexandrealencar.net/
> http://www.alexandrealencar.net/
> ITIL, CSM, LPI, MCP-I, MCP
>
>
> ___
> http://www.voipmania.com.br
> Telefone IP sem fio Gigaset A580IP por 6 x R$59,90.
> Promoção por tempo limitado!
> Acesse agora http://promo.voipmania.com.br
>
> ___
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil@listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>

___
http://www.voipmania.com.br
Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
Promoção por tempo limitado!
Acesse agora http://promo.voipmania.com.br

___
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil

[AsteriskBrasil] RES: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Rafael Alves Machado

Meu servidor foi invadido e consumiram em uma noite 16mil reais de nosso
provedor pos-pago de voip.

 

Hoje bloqueio a porta 5060 e libero somente para as redes que quero

 

Rafael

De: asteriskbrasil-boun...@listas.asteriskbrasil.org
[mailto:asteriskbrasil-boun...@listas.asteriskbrasil.org] Em nome de
Alexandre Cavalcante Alencar
Enviada em: quarta-feira, 4 de novembro de 2009 15:33
Para: asteriskbrasil@listas.asteriskbrasil.org
Assunto: Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk

 

Olá, boa tarde,

A reclamação deve ser feita ao provedor (Global Crossing) e ao NIC/CERT
Brasil.

Sds

2009/11/4 

Eder,

Boa tarde.

Você não pode fazer uma reclamação formal a Global Crossing ???

tracert 208.38.164.96

Rastreando a rota para 208.38.164.96 com no máximo 30 saltos

 1 *** Esgotado o tempo limite do pedido.
 257 ms 5 ms 5 ms  201-0-92-89.dsl.telesp.net.br [201.0.92.89]
 3 6 ms 5 ms 5 ms  200-100-3-153.dsl.telesp.net.br
[200.100.3.153]

 4 6 ms 5 ms 5 ms  200-100-98-201.dial-up.telesp.net.br
[200.100.98
.201]
 5 7 ms 7 ms 7 ms
Xe7-0-0-0-grtsanem2.red.telefonica-wholesale.net
 [213.140.50.69]
 6   120 ms   120 ms   121 ms
Xe6-0-1-0-grtmiabr1.red.telefonica-wholesale.net
 [84.16.15.42]
 7   159 ms   171 ms   159 ms
Xe-1-1-0-0-grtwaseq3.red.telefonica-wholesale.ne
t [84.16.13.57]
 8   169 ms   176 ms *
GlobalCrossing2-0-0-0-grtwaseq3.red.telefonica-w
holesale.net [213.140.55.90]
 9   173 ms   172 ms   172 ms  64.209.96.18
 10   184 ms   176 ms   177 ms  v996.core1.esnet.com [216.139.207.17]
 11   181 ms   181 ms   173 ms  208.38.164.96

Rastreamento concluído.

Sds,
Cooky

-- 
Alexandre Alencar (Skarmeth)
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/
ITIL, CSM, LPI, MCP-I, MCP


___
http://www.voipmania.com.br
Telefone IP sem fio Gigaset A580IP por 6 x R$59,90. 
Promoção por tempo limitado!
Acesse agora http://promo.voipmania.com.br

___
Lista de discussões AsteriskBrasil.org
AsteriskBrasil@listas.asteriskbrasil.org
http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Italo Rossi

Retirado do link que Saulo passou:

"...
Utilize a opção "alwaysauthreject=yes" dentro da seção [general] do  
seu sip.conf. Esta opção fará que o Asterisk responda a requisições de  
usuários válidos com credenciais invalidas da mesma maneira que ele  
faz para usuários inválidos;
...
"

On Nov 4, 2009, at 2:00 PM, Luciano Antonio Borguetti Faustino wrote:

> Não culparia o Asterisk
>
> http://www.ietf.org/rfc/rfc3261.txt - Sessão 10 Registrations
>
> :-)
>
> []s
>
>
> 2009/11/4 José Eduardo C. Mazolini 
> Eu acabo de fazer um teste com X-LITE
> E o asterisk é um problema, aconselho colocar um router SIP na  
> frente e tratar esse problema.
> Ele não devia mostrar para o atacante qual ramal existe qual não.  
> Pois depois de identificado o ramal existente ele passa a testar  
> senhas.
>
> Obrigado pela dica do programa pois é necessário criar algo  
> automático pra bloqueio de intrusos.
> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados  
> maquinas que geram ataque e esse registro dura algumas horas.
> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip  
> la, vc antes de autorizar uma conexão já confere nesta lista se  
> tiver vc ja bloqueia de cara o atacante.
>
> Isso pode ser complicado pois alguem mal intencionado pode fazer  
> falsas acusações contra vc e vc fica bloqueado sem ter feito nada.
> Mas criar uma base desta com controle sobre os que fazem a denucia,  
> só servidores da empresa, grupo de trabalho, empresas que possuem  
> negocio em comum pode ajudar.
>
> Observe o que aconteceu:
>
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 404 Not found
>
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
>
>
>
>
>
> Eduardo Mazolini
> (19) 9191-2705
>
>
> De: Luciano Antonio Borguetti Faustino  >
>
> Para: asteriskbrasil@listas.asteriskbrasil.org
> Enviadas: Quarta-feira, 4 de Novembro de 2009 13:40:10
>
> Assunto: Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
>
> Eder,
>
> Interessante,
>
> Trantando o problema mais profissionamente acoselho a instalação de  
> um IDS/IPS (Snort por exemplo -http://www.snort.org/), onde você  
> consegue identificar esses tipos de ataques e criar ações, como  
> exemplo o bloqueio do host atacante.
>
> []s,
>
> 2009/11/4 Itamar Reis Peixoto 
> eu continuo com a minha opiniao de que iptables e' pra boiola
>
> route add -host 208.38.164.96 reject
>
> resolve o problema !
>
>
>
> 2009/11/4 Eder Souza 
> >
> > Log do Asterisk segue ae para vc ver um ataque massivo chutando  
> users sips, repare quantos users ele conseguiu chutar em apenas um  
> segundo !!!
> >
> >
> > uma amostra do log referente ao ataque !!!
> >
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"0" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"1" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"2" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"3" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"4" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"5" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"6" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"7" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"8" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"9" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"10" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"11" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"12" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"13" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"14" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"15" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
> > '"16" >' failed for '208.38.164.96' - No matching peer found
> > [Oct 1

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Luciano Antonio Borguetti Faustino

Não culparia o Asterisk

http://www.ietf.org/rfc/rfc3261.txt - Sessão 10 Registrations

:-)

[]s


2009/11/4 José Eduardo C. Mazolini 

> Eu acabo de fazer um teste com X-LITE
> E o asterisk é um problema, aconselho colocar um router SIP na frente e
> tratar esse problema.
> Ele não devia mostrar para o atacante qual ramal existe qual não. Pois
> depois de identificado o ramal existente ele passa a testar senhas.
>
> Obrigado pela dica do programa pois é necessário criar algo automático pra
> bloqueio de intrusos.
> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados maquinas
> que geram ataque e esse registro dura algumas horas.
> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip la, vc
> antes de autorizar uma conexão já confere nesta lista se tiver vc ja
> bloqueia de cara o atacante.
>
> Isso pode ser complicado pois alguem mal intencionado pode fazer falsas
> acusações contra vc e vc fica bloqueado sem ter feito nada.
> Mas criar uma base desta com controle sobre os que fazem a denucia, só
> servidores da empresa, grupo de trabalho, empresas que possuem negocio em
> comum pode ajudar.
>
> Observe o que aconteceu:
>
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 404 Not found
>
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
>
>
>
>
>
> Eduardo Mazolini
> (19) 9191-2705
>
>
> --
> *De:* Luciano Antonio Borguetti Faustino <
> lucianoborguetti.lis...@gmail.com>
>
> *Para:* asteriskbrasil@listas.asteriskbrasil.org
> *Enviadas:* Quarta-feira, 4 de Novembro de 2009 13:40:10
>
> *Assunto:* Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
>
> Eder,
>
> Interessante,
>
> Trantando o problema mais profissionamente acoselho a instalação de um
> IDS/IPS (Snort por exemplo -http://www.snort.org/), onde você consegue
> identificar esses tipos de ataques e criar ações, como exemplo o bloqueio do
> host atacante.
>
> []s,
>
> 2009/11/4 Itamar Reis Peixoto 
>
>> eu continuo com a minha opiniao de que iptables e' pra boiola
>>
>> route add -host 208.38.164.96 reject
>>
>> resolve o problema !
>>
>>
>>
>> 2009/11/4 Eder Souza 
>> >
>> > Log do Asterisk segue ae para vc ver um ataque massivo chutando users
>> sips, repare quantos users ele conseguiu chutar em apenas um segundo !!!
>> >
>> >
>> > uma amostra do log referente ao ataque !!!
>> >
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"0"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"1"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"2"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"3"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"4"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"5"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"6"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"7"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"8"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"9"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"10"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"11"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"12"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"13"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"14"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"15"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"16"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"17"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"18"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"19"' failed for '208.38.164.96' - No matching pe

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Saulo Quinteiro

José da uma olhada nesse link.

http://www.voipexperts.com.br/tutoriais-sobre-asterisk-e-voip/seguranca-no-asterisk

E um Firewall bem elaborado ajuda bastante tb.
Vai ajudar no seu problema.


Saulo Quinteiro Dos Santos
Fone: 41-2141-9567
Graduando em Ciência da Computação - UFPR
msn : sauloquinte...@gmail.com
e-mail: sa...@mpsinf.com.br
cel : 41-9927-5236




José Eduardo C. Mazolini escreveu:
> Eu acabo de fazer um teste com X-LITE
> E o asterisk é um problema, aconselho colocar um router SIP na frente e 
> tratar esse problema.
> Ele não devia mostrar para o atacante qual ramal existe qual não. Pois 
> depois de identificado o ramal existente ele passa a testar senhas.
> 
> Obrigado pela dica do programa pois é necessário criar algo automático 
> pra bloqueio de intrusos.
> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados 
> maquinas que geram ataque e esse registro dura algumas horas.
> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip la, 
> vc antes de autorizar uma conexão já confere nesta lista se tiver vc ja 
> bloqueia de cara o atacante.
> 
> Isso pode ser complicado pois alguem mal intencionado pode fazer falsas 
> acusações contra vc e vc fica bloqueado sem ter feito nada.
> Mas criar uma base desta com controle sobre os que fazem a denucia, só 
> servidores da empresa, grupo de trabalho, empresas que possuem negocio 
> em comum pode ajudar.
> 
> Observe o que aconteceu:
> 
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 404 Not found
> 
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
> 
> 
> 
>  
> Eduardo Mazolini
> (19) 9191-2705
> 
> 
> 
> *De:* Luciano Antonio Borguetti Faustino 
> *Para:* asteriskbrasil@listas.asteriskbrasil.org
> *Enviadas:* Quarta-feira, 4 de Novembro de 2009 13:40:10
> *Assunto:* Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
> 
> Eder,
> 
> Interessante, 
> 
> Trantando o problema mais profissionamente acoselho a instalação de um 
> IDS/IPS (Snort por exemplo -http://www.snort.org/), onde você consegue 
> identificar esses tipos de ataques e criar ações, como exemplo o 
> bloqueio do host atacante.
> 
> []s,
> 
> 2009/11/4 Itamar Reis Peixoto  >
> 
> eu continuo com a minha opiniao de que iptables e' pra boiola
> 
> route add -host 208.38.164.96 reject
> 
> resolve o problema !
> 
> 
> 
> 2009/11/4 Eder Souza  >
>  >
>  > Log do Asterisk segue ae para vc ver um ataque massivo chutando
> users sips, repare quantos users ele conseguiu chutar em apenas um
> segundo !!!
>  >
>  >
>  > uma amostra do log referente ao ataque !!!
>  >
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"0"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"1"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"2"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"3"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"4"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"5"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"6"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"7"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"8"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"9"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"10"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"11"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"12"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"13"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"14"' failed for '208.38.164.96' - No matching peer found
>  > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
> '"15"' failed for '208.38.164.96' - No matc

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico Eder Souza

Isso mesmo eu já tinha feito esse teste ele mostra pro cara qual ramal
existe :-(

scaner da portas UDP no ip do cara
PORTSTATE SERVICE
111/udp open|filtered rpcbind
623/udp open|filtered unknown
631/udp open|filtered unknown
664/udp open|filtered unknown
666/udp open|filtered doom
669/udp open|filtered unknown

porta 666 "DOOM" oloc


Eng Eder de Souza

2009/11/4 José Eduardo C. Mazolini 

>  Eu acabo de fazer um teste com X-LITE
> E o asterisk é um problema, aconselho colocar um router SIP na frente e
> tratar esse problema.
> Ele não devia mostrar para o atacante qual ramal existe qual não. Pois
> depois de identificado o ramal existente ele passa a testar senhas.
>
> Obrigado pela dica do programa pois é necessário criar algo automático pra
> bloqueio de intrusos.
> Já ouvi falar em um serviço semelhante a DNS onde são cadastrados maquinas
> que geram ataque e esse registro dura algumas horas.
> Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip la, vc
> antes de autorizar uma conexão já confere nesta lista se tiver vc ja
> bloqueia de cara o atacante.
>
> Isso pode ser complicado pois alguem mal intencionado pode fazer falsas
> acusações contra vc e vc fica bloqueado sem ter feito nada.
> Mas criar uma base desta com controle sobre os que fazem a denucia, só
> servidores da empresa, grupo de trabalho, empresas que possuem negocio em
> comum pode ajudar.
>
> Observe o que aconteceu:
>
> Ramal 1 inexistente:
> x-lite: REGISTER
> Asterisk: 404 Not found
>
> Ramal 2 existente
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 401 Unauthorized
> x-lite: REGISTER
> Asterisk: 100 Trying
> Asterisk: 403 Forbidden (Bad auth)
>
>
>
>
>
> Eduardo Mazolini
> (19) 9191-2705
>
>
>  --
> *De:* Luciano Antonio Borguetti Faustino <
> lucianoborguetti.lis...@gmail.com>
>
> *Para:* asteriskbrasil@listas.asteriskbrasil.org
> *Enviadas:* Quarta-feira, 4 de Novembro de 2009 13:40:10
>
> *Assunto:* Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk
>
> Eder,
>
> Interessante,
>
> Trantando o problema mais profissionamente acoselho a instalação de um
> IDS/IPS (Snort por exemplo -http://www.snort.org/), onde você consegue
> identificar esses tipos de ataques e criar ações, como exemplo o bloqueio do
> host atacante.
>
> []s,
>
> 2009/11/4 Itamar Reis Peixoto 
>
>> eu continuo com a minha opiniao de que iptables e' pra boiola
>>
>> route add -host 208.38.164.96 reject
>>
>> resolve o problema !
>>
>>
>>
>> 2009/11/4 Eder Souza 
>>  >
>> > Log do Asterisk segue ae para vc ver um ataque massivo chutando users
>> sips, repare quantos users ele conseguiu chutar em apenas um segundo !!!
>> >
>> >
>> > uma amostra do log referente ao ataque !!!
>> >
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"0"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"1"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"2"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"3"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"4"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"5"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"6"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"7"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"8"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"9"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"10"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"11"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"12"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"13"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"14"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"15"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"16"' failed for '208.38.164.96' - No matching peer found
>> > [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from
>> '"17"' failed for '208.38.164

[AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico José Eduardo C . Mazolini

Eu acabo de fazer um teste com X-LITE
E o asterisk é um problema, aconselho colocar um router SIP na frente e tratar 
esse problema.
Ele não devia mostrar para o atacante qual ramal existe qual não. Pois depois 
de identificado o ramal existente ele passa a testar senhas.

Obrigado pela dica do programa pois é necessário criar algo automático pra 
bloqueio de intrusos.
Já ouvi falar em um serviço semelhante a DNS onde são cadastrados maquinas que 
geram ataque e esse registro dura algumas horas.
Assim se alguem atacar meu asterisk eu bloqueio e registro esse ip la, vc antes 
de autorizar uma conexão já confere nesta lista se tiver vc ja bloqueia de cara 
o atacante.

Isso pode ser complicado pois alguem mal intencionado pode fazer falsas 
acusações contra vc e vc fica bloqueado sem ter feito nada.
Mas criar uma base desta com controle sobre os que fazem a denucia, só 
servidores da empresa, grupo de trabalho, empresas que possuem negocio em comum 
pode ajudar.

Observe o que aconteceu:

Ramal 1 inexistente:
x-lite: REGISTER 
Asterisk: 404 Not found

Ramal 2 existente
x-lite: REGISTER
Asterisk: 100 Trying
Asterisk: 401 Unauthorized
x-lite: REGISTER
Asterisk: 100 Trying
Asterisk: 403 Forbidden (Bad auth)




 Eduardo Mazolini
(19) 9191-2705





De: Luciano Antonio Borguetti Faustino 
Para: asteriskbrasil@listas.asteriskbrasil.org
Enviadas: Quarta-feira, 4 de Novembro de 2009 13:40:10
Assunto: Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk

Eder,

Interessante, 

Trantando o problema mais profissionamente acoselho a instalação de um IDS/IPS 
(Snort por exemplo -http://www.snort.org/), onde você consegue identificar 
esses tipos de ataques e criar ações, como exemplo o bloqueio do host atacante.

[]s,


2009/11/4 Itamar Reis Peixoto 

>eu continuo com a minha opiniao de que iptables e' pra boiola
>
>>route add -host 208.38.164.96 reject
>
>>resolve o problema !
>
>
>
>>2009/11/4 Eder Souza 
>
>>
>>> Log do Asterisk segue ae para vc ver um ataque massivo chutando users sips, 
>>> repare quantos users ele conseguiu chutar em apenas um segundo !!!
>>>
>>>
>>> uma amostra do log referente ao ataque !!!
>>>
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"0"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"1"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"2"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"3"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"4"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"5"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"6"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"7"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"8"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"9"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"10"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"11"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"12"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"13"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"14"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"15"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"16"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"17"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"18"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"19"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"20"' failed for '208.38.164.96' - No matching peer found
>>> [Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
>>> '"21"' failed for '208.38.164.96' - No matching peer foun

[AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

2009-11-04 Por tôpico José Eduardo C . Mazolini

Isso é preocupante mesmo.
Sera que se o ramal existir ele responde pedindo a senha e ja entrega que o 
ramal existe ou vai enviar o mesmo tipo de falha?


 Eduardo Mazolini
(19) 9191-2705





De: Eder Souza 
Para: asteriskbrasil@listas.asteriskbrasil.org
Enviadas: Quarta-feira, 4 de Novembro de 2009 13:03:23
Assunto: Re: [AsteriskBrasil] RES: Vulnerabilidade Asterisk


Log do Asterisk segue ae para vc ver um ataque massivo chutando users sips, 
repare quantos users ele conseguiu chutar em apenas um segundo !!!
 
 
uma amostra do log referente ao ataque !!!
 
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"0"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"1"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"2"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"3"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"4"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"5"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"6"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"7"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"8"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from '"9"' 
failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"10"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"11"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"12"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"13"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"14"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"15"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"16"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"17"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"18"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"19"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"20"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"21"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"22"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"23"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"24"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"25"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"26"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"27"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"28"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"29"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"30"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"31"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"32"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"33"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"34"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration from 
'"35"' failed for '208.38.164.96' - No matching peer found
[Oct 12 09:31:26] NOTICE[2751] chan_sip.c: Registration

Re: [AsteriskBrasil] RES: RES: Vulnerabilidade Asterisk

[AsteriskBrasil] RES: RES: Vulnerabilidade Asterisk

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

Re: [AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

[AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

[AsteriskBrasil] Res: RES: Vulnerabilidade Asterisk

8 matches

Site Navigation

Mail list logo

Footer information