tring from
62.210.15.250Sep 12 20:59:24 MonServeur sshd[7894]: Did not receive
identification string from 62.210.15.250
Merci éventuellement si vous pouvez y mettre un terme.
Cdt
> To: frnog@frnog.org
> From: sb...@online.net
> Date: Fri, 11 Sep 2015 11:20:06 +0200
> Subject: Re: [FRnOG] [ALERT] H
Le 11/09/2015 12:39, Pierre DOLIDON a écrit :
et une petite regle qui drop les scanners, ça en élimine déjà pas mal :
# Drop sipvicious
iptables -A INPUT -m string --string "friendly-scanner" --algo bm -p udp
--dport 5060 -j DROP
iptables -A INPUT -m string --string "sipcli" --algo bm -p udp --dp
Si tu as un asterisk (11 pour ma part, les versions avant ne logguent
pas l'IP) cette failregex de fail2ban fonctionne bien :
failregex = NOTICE.* .*: Registration from '.*' failed for ':.*' -
Wrong password
NOTICE.* .*: Registration from '.*' failed for ':.*'
- No matching peer fo
'jour
Le 11/09/2015 12:14, chahid ouarzoun a écrit :
envoyer des abuses sert a rien, les gars ont déjà trop de taf, protège toi
mieux c est le seul moyen
C'est pas "trop de taf". Si je comprends, les abuse sont transférées à
celui qui est derrière l'IP, cad normalement l'admin du serveur. Sau
Tu devrais carrément blacklist l'AS OVH, Online & Co sur tes routeurs,
ça irait plus vite non ?
Gurvan.
Le 11 septembre 2015 12:14, chahid ouarzoun
a écrit :
> bonjour a tous
>
> c est vrai y en a marre de ces hackers sip qui tente de voler des minutes
>
> c est vrai aussi que chez online , ovh
bonjour a tous
c est vrai y en a marre de ces hackers sip qui tente de voler des minutes
c est vrai aussi que chez online , ovh and co y en a bcp
après des années a me battre pour rien , j ai opter pour :
firewall Pfsense avec module pfblocker + snort + config pointu du fail2ban
avec ça on blo
La procédure existe peut-être je n’ai jamais eu de retour.
Au passage, on m’a fait un MP pour me donner une URL pour signaler les abus.
Moi je me base sur le RIPE pour avoir l’email du service Abuse.
Il serait peut-être opportun de mettre à jour le RIPE en mettant cette URL en
commentaire ?
Je va
Hello,
C'est le client derrière l'IP qui répond à l'abuse, pas nous.
Et en cas de non réponse au bout de 48h, le serveur est coupé
automatiquement.
Mais en ne faisant rien, ça va grandement améliorer la situation :-)
Solvik
Le 11/09/2015 11:18, David Ponzone a écrit :
Ouais c’est violent.
L
Ouais c’est violent.
Le problème que j’ai, c’est que sur la quantité de tentatives pathétiques de
hack SIP que nous collectons, la moitié environ viennent de France, et la
répartition de ces tentatives c’est à peu près 50% OVH/50% Online.
Donc à force de bloquer leurs blocs, on finira par trouver
c'est quand même violent de bloquer autant d'IP pour une seule IP.
on dirait une technique hotmail, quand un dédié spamme, ils bloquent
carrément le provider (c'est arrivé à OVH ya pas si longtemps que ça.
Le 11/09/2015 10:59, David Ponzone a écrit :
Comme il y a des gens de Online sur la list
Comme il y a des gens de Online sur la liste, j’en profite:
il y a un petit malin hébergé chez Online, IP 212.83.153.160, qui fait des
tentatives d’intrusion SIP chez nous.
Je ne me fatigue pas à contacter le service Abuse de Illiad/Online, j’ai jamais
eu de réponse à la moindre demande.
J’ai b
11 matches
Mail list logo
