Hacker in meinem Asterisk Server

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Das hört sich ja wenigstens noch "frisch" an ... die Stimmen die ich da auf Band hab lösen eher solche Bilder im Kopf aus ;)

lustiges_bild_strandmode_fuer_maenner.jpg


Und solange man keinen unsicheren Asterisk findet kann die ganze gelangweilte Mannschaft im o.g. CallCenter ja tanzen...

271576r8jv0gdfzo.gif


Ich glaube das sind die ersten beiden Bilder die ich hier im ippf in solcher Form einstelle (ausserhalb der Witzecke) - nun gut. Lass uns das hier in dieser Form beenden

:dance:
 
Damit wir auch wieder zum Thema kommen - ich habe hier ein HackingTool für zBsp. Asterisk gefunden...

Wenn ich mir das ganze auf meinem ungesicherten VMWare Testsystem anschaue, genau so und nicht anders war der "Angriff" zu sehen...ist schon erstaunlich für welche einfache Menschen das ausgelegt ist - á la "werde soetwas wie ein hacker - alles was Du brauchst ist ne viertel stunde"

Ein Angriff gegen mich ging nunmehr im ersten Schritt erolgreich zur Suche der Nutzer (ich habe böserweise sofort passende Benutzer suchen lassen) - dann, durch dreimalige falsche auth versuche wurde ich ebenfalls erfolgreich gebannt - super.

LG Stefan
 
Zuletzt bearbeitet:
Habe dies im message-file gefunden:
PHP: 
[2010-09-09 11:27:08] WARNING[19561] chan_sip.c: Maximum retries exceeded on transmission [email protected] for seqno 102 (Critical Response) -- See doc/sip-retransmit.txt.
[2010-09-09 11:27:08] WARNING[19561] chan_sip.c: Maximum retries exceeded on transmission [email protected] for seqno 102 (Critical Response) -- See doc/sip-retransmit.txt.
IP ist in China. Habe bisher jedoch vergeblich nach einem File sip-retransmit.txt gesucht. Was ist da passiert und wo ist dieser File?
 
Das Warning habe ich hier auch ab und an - IMHO ist irgendwas mit Inkompatibilität mit Endgerät X :-?

Ich denke Dich sollte die Warnung nicht verrückt machen - eher würde ich über die Aussage nachdenken wer da wo ist und vorallem - wie kam er rein.

Sicherheitshinweise installiert?

Was hat da wer gemacht? Was sagt das Logfile bzgl "Registration from" oder "Wrong Password"?

Fail2Ban installiert? Authreject? Default-Kontext...?

LG Stefan
 
Endgerät? Dies ist ein SPA3102, funktioniert eigentlich seit langer Zeit problemlos.

Ich denke Dich sollte die Warnung nicht verrückt machen - eher würde ich über die Aussage nachdenken wer da wo ist und vorallem - wie kam er rein.
Zum Vergrößern anklicken....
Reingekommen??? Dürfte eigentlich nicht möglich sein. 20 Sekunden vorher gab es noch einen Versuch nach UK anzurufen, also:

PHP: 
[2010-09-09 11:26:48] NOTICE[19561] chan_sip.c: Call from '' to extension '00442075005000' rejected because extension not found.
[2010-09-09 11:26:48] NOTICE[19561] chan_sip.c: Call from '' to extension '011442075005000' rejected because extension not found.
[2010-09-09 11:27:08] WARNING[19561] chan_sip.c: Maximum retries exceeded on transmission [email protected] for seqno 102 (Critical Response) -- See doc/sip-retransmit.txt.
[2010-09-09 11:27:08] WARNING[19561] chan_sip.c: Maximum retries exceeded on transmission [email protected] for seqno 102 (Critical Response) -- See doc/sip-retransmit.txt.

Von den weiteren Empfehlungen fehlt nur allowguest=no (werde dies gleich nachtragen) und Fail2Ban

Bis heute hat es noch niemand geschafft auf meine Kosten zu telefonieren.

Betreffend Fail2Ban: Habe dies nach unzähligen Versuchen aufgegeben. Hatte deswegen sogar eine andere Linux-Version aufgesetzt. Ich vermute, dass das Problem mit dem Hoster vom vServer zusammenhängt. Das Account soll "vollen Zugriff" auf Root haben, damit auch auf iptables. Weder mit noch ohne iptabels habe ich Fail2Ban nie richtig zum Funktionieren gebracht. Fail2Ban reagiert richtig aber kann die IP nicht sperren.
 
Hey,

Mhmm...

bei meinem ausgeslegten vServer (ein Schrottding zum testen) lief iptables sofort - dafür andere Dinge nur sehr sporadisch - wie rkhunter o.ä.

Wo genau steckt das Problem, am besten wir beide gehen die Schritte einzeln durch.

Distri Debian? Distri Suse?

Debian
apt-get install iptables
apt-get install fail2ban
editieren von jail.conf
Fertig

Suse ? yum oder yam oder so hiess das Ding? :)

Liebe Grüsse,

Stefan
 
HobbyStern schrieb:
Wo genau steckt das Problem, am besten wir beide gehen die Schritte einzeln durch.
Zum Vergrößern anklicken....

Hier der Auszug eines Logs von Fail2Ban:
Code: 
2010-09-07 21:19:32,094 fail2ban.actions: WARNING [asterisk-iptables] Ban 93.13.43.229
2010-09-07 21:19:32,244 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ASTERISK returned 100
2010-09-07 21:19:32,244 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
2010-09-07 21:19:32,259 fail2ban.actions.action: ERROR  iptables -D INPUT -p all -j fail2ban-ASTERISK
iptables -F fail2ban-ASTERISK
iptables -X fail2ban-ASTERISK returned 300
2010-09-07 21:19:32,270 fail2ban.actions.action: ERROR  iptables -N fail2ban-ASTERISK
iptables -A fail2ban-ASTERISK -j RETURN
iptables -I INPUT -p all -j fail2ban-ASTERISK returned 300
2010-09-07 21:19:32,273 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ASTERISK returned 100
2010-09-07 21:19:32,273 fail2ban.actions.action: CRITICAL Unable to restore environment
2010-09-07 21:19:32,386 fail2ban.actions.action: ERROR  printf %b "Hi,\n
The IP 93.13.43.229 has just been banned by Fail2Ban after
6 attempts against ASTERISK.\n\n
Here are more information about 93.13.43.229:\n
`whois 93.13.43.229`\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] ASTERISK: banned 93.13.43.229" [email protected] returned 7f00
2010-09-07 21:19:58,407 fail2ban.actions: WARNING [asterisk-iptables] 93.13.43.229 already banned
2010-09-07 21:40:34,587 fail2ban.actions: WARNING [asterisk-iptables] 93.13.43.229 already banned
2010-09-07 22:02:18,781 fail2ban.actions: WARNING [asterisk-iptables] 93.13.43.229 already banned
Fail2Ban beauftragt iptables die IP zu blockieren. Iptables produziert aber nur errors. Weiter gibt es auch ein Problem die Mailnachricht zu senden.

Habe Debian stable installiert.

Hier der Spickzettel für die Installation von iptables und Python:
cd /usr/src

wget http://ftp.debian.org/pool/main/i/iptables/iptables_1.4.6-2.debian.tar.gz
tar -xzf iptables_1.4.6-2.debian.tar.gz

Python-central:
--------------
Check for (latest) version: http://ftp.debian.org/pool/main/p/python-central/

wget http://ftp.us.debian.org/debian/pool/main/p/python-central/python-central_0.6.16_all.deb
dpkg -i python-central_0.6.16_all.deb

wget http://ftp.de.debian.org/debian/pool/main/p/python-central/python-central_0.5.12.tar.gz
tar -xzf python-central_0.5.12.tar.gz
Zum Vergrößern anklicken....
Irgendwelche Ideen weshalb iptables nicht funktioniert?
 
[email protected]
Zum Vergrößern anklicken....

Hast Du die jail.conf konfiguriert ?

Ich würde Dir einfach vorschlagen , wenn es doch mein geliebtes Debian ist und Du willst das es , egal wie , funktioniert - schlichtweg über apt oder aptitude zu arbeiten.

Also nur :

Code: 
Debian
apt-get install iptables
apt-get install fail2ban
[B]editieren von jail.conf[/B]
Fertig

und/oder nach meinem HOWTO vorzugehen. Ich habe fail2ban mittlerweile auf jedem meiner 3 Server aktiviert, immer für SSH, Bind9/Named und halt auch einmal für Asterisk. Überall 0 Probleme.

zur Erinnerung - HIER ist das HowTo, ich habe damals mal gestoppt, Asterisk (oder auch meinetwegen keinen Asterisk) sicher zu machen dauerte bei mir 30 Minuten - beim ersten Mal.

Hier ist der Auszug aus dem HOWTO um den es geht (kann man eigentlich code und qupte per Copy&Paste hier einfügen ? :) )

Code: 
Das englische Voll-Howto zu diesem Teil gibt es [URL="http://www.voip-info.org/wiki/view/Fail2Ban+%28with+iptables%29+And+Asterisk"]hier[/URL]. Danke für diese Beschreibung!

Los gehts. Wir haben DEBIAN, davon gehe ich hier einfach aus und erspare  mir die Sources holen und kompilieren zu müssen, in diesem Fall scheint  es okay, da folgende Update-Sorgen gebannt :smile: sind.

 	Code:
 	apt-get install fail2ban iptables 
Sollte die benötigten Pakete holen (inkl. python) und einrichten, SSH ist per default an.

[I]2. Konfigurieren von Fail2Ban[/I]

 	Code:
 	cd /etc/fail2ban nano filter.d/asterisk.conf 
Diesen Text am Schluss einsetzen

 	Code:
 	# Fail2Ban configuration file # # # $Revision: 250 $ #  [INCLUDES]  # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf   [Definition]  #_daemon = asterisk  # Option:  failregex # Notes.:  regex to match the password failures messages in the logfile. The #          host must be matched by a group named "host". The tag "<HOST>" can #          be used for standard IP/hostname matching and is only an alias for #          (?:::f{4,6}:)?(?P<host>\S+) # Values:  TEXT #  failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password             NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found             NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch             NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL             NOTICE.* <HOST> failed to authenticate as '.*'$             NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)             NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)             NOTICE.* .*: Failed to authenticate user .*@<HOST>.*  # Option:  ignoreregex # Notes.:  regex to ignore. If this regex matches, the line is ignored. # Values:  TEXT # 
Nun noch [B]/etc/fail2ban/jail.conf[/B] editieren und die folgenden Daten am Ende eintragen : 

[B][I]Beachte! LOGPATH - muss auf ein Logfile zeigen welches WARNINGs ausgibt![/I][/B]

Zu verändernde Zeilen in dem folgenden Text : 

LOGPATH=
SENDER=
NAME=
DEST=

 	Code:
 	[asterisk-iptables]  enabled  = true filter   = asterisk action   = iptables-allports[name=ASTERISK, protocol=all]            sendmail-whois[name=ASTERISK, dest=root, [email protected]] logpath  = /var/log/asterisk/verbose.log maxretry = 5 bantime = 259200 
Am Kopf der Datei findet man einiges was es anzupassen gilt: 

Zu verändernde Variablen in diesem Text : 

IGNOREIP
DESTEMAIL
MTA (bei Bedarf)

 	Code:
 	ignoreip = 127.0.0.0/8 10.0.0.0/8 <meineprivateIPRange> destemail = <[email protected]> mta = sendmail        / für sendmail oder  mta = mail            / für exim (so habe ich es hier 
Schaut man sich jail.conf mit Verstand durch ist alles weitgehend erklärt, ich habe die retry von 6 auf 3 herabgesetzt.

In der logger.conf des Asterisken setzen wir noch : 

 	Code:
 	[general] dateformat=%F %T 
ein und lassen einen 

 	Code:
 	asterisk -rx "logger reload" 
laufen.

Fertig. Mit iptables --list können wir uns die Regeln ansehen. Zeit für einen Service-Restart : 

/etc/init.d/fail2ban restart

Nochmals iptables -l sollte nunmehr eine Ausgabe über die bestehenden Regeln geben.

[I]Hinweis [/I]
Das iptables Paket der Debian Distri ist seit IMHO sid nicht mehr mit  einem Init Skript versehen, nach dem was ich hier gesehen habe besteht  aber auch kein Bedarf mehr (ändernde Netzwerkadressen machten dies  notwendig!) Also kurzum - wir brauchen iptables NICHT zu init.d /  starten!
[I]Hinweis [/I] 
Mit der Distri-Installation von fail2ban wurde automatisch fail2ban für ssh installiert , siehe jail.conf
 
HobbyStern schrieb:
Hast Du die jail.conf konfiguriert ?
Zum Vergrößern anklicken....
Ja:
Code: 
[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           mail-whois[name=ASTERISK, [email protected], [email protected]]
logpath  = /var/log/asterisk/messages
maxretry = 5
findtime = 2
bantime = 259200

HobbyStern schrieb:
apt-get install iptables
Zum Vergrößern anklicken....
Hatte ich früher mit Debian 4 (etch) versucht, ging nicht. Hatte dewegen Debian stable und iptables wie erwähnt aufgesetzt.

HobbyStern schrieb:
Mit iptables --list können wir uns die Regeln ansehen.
...
Nochmals iptables -l sollte nunmehr eine Ausgabe über die bestehenden Regeln geben.
Zum Vergrößern anklicken....

Mein iptables akzeptiert "-l" nur in Grossbuchstaben "-L" und liefert:
Code: 
vs8709:~# iptables -L
iptables v1.4.2: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

Bei welchem Hoster hast Du Deinen vServer?
 
Zuletzt bearbeitet:
Hallo Met,

vorweg

Code: 
Permission denied: You must be root

gesehen?

Meine jail.conf sieht so aus :

Code: 
[asterisk-iptables]         

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, [email protected]]
logpath  = /var/log/asterisk/stefan.verbose.log   
maxretry = 3   
bantime = 259200

Ich habe fail2ban über Etch installiert und vor einer Woche in einem Distri Upgrade nach Lenny gezogen, beides ging.

Mein vServer ist bei Xantron, aber es sollte möglich sein.

Tu mir zu Liebe doch mal den Gefallen und gehe wirklich step by step über mein HOWTO.

Anbei - wenn Du noch etwas rumwerkeln willst kannst Du ja versuchen fail2ban ohne iptables zu nutzen..?! Ich würde apt-egt nehmen ;)

Liebe Grüsse,

Stefan
 
HobbyStern schrieb:
Tu mir zu Liebe doch mal den Gefallen und gehe wirklich step by step über mein HOWTO.
Zum Vergrößern anklicken....
Habe ich jetzt. Hat leider nichts gebracht.

Beim
Code: 
apt-get install fail2ban iptables
gab es nichts zu tun, da alles schon in der letzten Version vorhanden.

Jail.conf nochmals angepasst. IgnoreIP habe ich nicht, da dyn. IP. Betr: "MTA (bei Bedarf)". Bei welchem Bedarf? Vermutlich ist dies der Grund, dass die Mails nicht gesendet werden können. Dies ist jedoch das kleinere Problem.

Die logger.conf war schon richtig. Fai2Ban hat Datum/Zeit ja bisher schon richtig lesen können.

Iptables überprüfen, aber gleiches Resultat:
Code: 
vs8709:~# iptables --list
iptables v1.4.2: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
Habe dann iptables nochmals aktivert:
Code: 
vs8709:~# /usr/sbin/iptables-apply
E: cannot read /etc/network/iptables
... und tatsächlich, unter /network gibt es kein File iptables :confused:
 
Hi,

die Nacht war lang, der Schlaf sehr kurz :)

=> Okay, ich gehe davon aus das alle Installtionen als root getätigt wurden..?

=> ein "dpkg-reconfigure" <paketname> also zBsp fail2ban sollte die Installtion wiederholen, falls als User installiert wurde, vorallem iptables benötigt root.

=> Der MTA (in meinem Fall exim4) ist bei mir als smarthost (also reine sendezentrale) eingerichtet und sorgt dafür das ich "mal eben" Emails an xyz absenden kann, vorausgesetzt Du hast einen SMTP als Ziel zur Verfügung, bei mir ist es zBsp web und ein alter 1&1 account auf dem vserver. Ohne MTA IMHO keine Mails.

=> Weiter ist es wichtig das Du fail2ban die richtige Email mitteilst, ebenfalls solltest Du in der /etc/email-adresses (oder der etc/exim4/email..) folgendes mindestens vermerkt haben :

Code: 
# This is /etc/email-addresses. It is part of the exim package
#
# This file contains email addresses to use for outgoing mail. Any local
# part not in here will be qualified by the system domain as normal.
#
# It should contain lines of the form:
#
#user: [email protected]
#otheruser: [email protected]
root: [email protected]
du: [email protected]
er: ...
sie: ...
es: ...
EXIM4 Konfiguriert man über "exim4-config", also bei Fehlern einfach dpkg-reconfigure exim4-config und Du kannst die Schritte wiederholen, in Kurzfassung Smarthost aktivieren, Deine TLD hinterlegen, Deinen SMTP hinterlegen. In die /etc/exim4/passwd.client folgendes eintragen :

Code: 
# password file used when the local exim is authenticating to a remote
# host as a client.
#
# see exim4_passwd_client(5) for more documentation
#
# Example:
### target.mail.server.example:login:password
smtp.meinwebserver.com:username:password
Somit sollte ein mail -s test [email protected] mit einem x-beliebigen text und zwei "." als Abschluss eine Email an Dich senden können. Dazu gibt es aber reichhaltig Infos im Netz.

Fail2Ban sieht ja nicht schlecht aus, iptables meldet Permission denied - needed to be root

Was er Dir sagen will sollte in deutsch etwa das heissen :

"Ich möchte gerne eine Regel einfügen, wurde aber als "normaler user" gebuilded und habe daher nur diese rechte, ich kann keine regeln verändern da dies eine sicherheitsfunktion ist"

entweder root werden und die befehle direkt ausführen (meine wahl) oder halt kurz zu root schwenken mit :
sudo apt-get --purge remove iptables fail2ban
sudo apt-get install iptables fail2ban

das sollte das Problem beheben.

Meld Dich mal ..!

p.s. wo ich es gerade lese, du nutzt zoiper, mein "hacker" damals hatte ebenfalls zoiper, aber ich war auch reichhaltig dumm, einfache passwörter und keine sicherheit...das war eine Lehre - wenn es um die IntrusionAbwehr geht sollte man sich mehr Zeit nehmen...

Stefan
 
Ich hätte mir viel Mühe sparen können, wenn ich früher den Hoster von meinem vServer gefragt hätte. Erhielt eben folgende Antwort:
vielen Dank für Ihre Anfrage!

iptables erfordert direkten Zugriff auf die Netzwerkressoucen des Host-Systems.
Diese sind aus Sicherheitsgründen unterbunden, damit Ihr vServer - auch wenn es paradox klingen mag - sicher ist. Wäre der Zugriff erlaubt, könnte man Ihren gesamten Server vom gleichen Host aus "abhören", sensible Daten auslesen etc.
Wir sind der Auffassung, dass dieser Punkt überwiegt als das Einrichten Etwaiger iptables.

Ggf. wird es in Kürze hierzu entsprechende Updates geben, was die Virtualisierung anbelangt.
Zum Vergrößern anklicken....

Betreffend Zoiper: Verwende diesen Client (sowie andere Clients) seit langem nur noch ausnahmsweise für Testzwecke.

Danke Dir für Deine Hilfe, um zu versuchen das Unmögliche möglich zu machen.
 
Hallo Met,

dann musst du eine andere Action angeben, nämlich hostsdeney
 
Danke, kombjuder für den neuen Lösungsansatz.
kombjuder schrieb:
dann musst du eine andere Action angeben, nämlich hostsdeney
Zum Vergrößern anklicken....
Wie müsste dieser Befehl dann in der jail.conf aussehen? Was ist ev. sonst noch nötig, damit es mit hostdeny geht?

Uups, habe zu schnell gefragt. Sehe gerade, dass unter action der Befehl mit hostdeny aktiviert werden kann. Was ist jetzt sonst noch nötig ausser einem reload von fail2ban?
 
Zuletzt bearbeitet:
Hey MET, Guten Morgen Kombjuder (lang nicht mehr zusammen geschrieben)

hostsdeny - das ergab auch meine Google Suche (iptables vserver)

Hier (ohne wirklich eine Antwort)

Wie das geht ..... ich schlag mal eben nach. Okay:

Hier - ich hatte das etwas falsch aufgefasst - anscheinend.

Okay - hier wird es offiziell tcpwrapper.

und hier ist es wenigstens fast ganz gelöst - mit Asterisk.

Hoffe es klappt. Stefan

EDIT :

Ganz zum Anfang zurück "Maximum retries exceed..." findet man in Verbindung mit der SPA Serie recht oft bei google - dann kann ich Dir auch sagen warum ich da ebenfalls diese Meldungen erhalte - ich habe hier noch vier Cisco / Linksys Geräte in dunklen Ecken angeschlossen - wenigstens die melden sich dann bei mir...

Wenn es wirklich Probleme macht (bei mir nicht) - dann könnte Dir das hier helfen.

EDIT 2 :

Wie das Leben so spielt - hier ist eine Lösung - von einem Internetnutzer Namens "Hobbystern" :)

Zu bemerken sei das es für 1.2 funktionierte - das war der Grund warum ich es vergessen hatte.
 
Zuletzt bearbeitet:
Mit Asterisk 1.8 scheint es nicht mehr zu funktionieren

Ich hatte vor paar Tagen noch * 1.6 auf meinem vserver drauf. Bin dein Howto durchgegangen - hat alles funktioniert.
Nun habe ich alles neu aufgesetzt (Debian 6.0 und Asterisk 1.8 ) , aber es funzt nicht mehr.
IPtables funktionieren, da ich gebannt werde, wenn ich mich per SSH paar mal falsch einlogge.
Vielleicht gibt * 1.8 die Warnings anders aus als gewohnt?
Code: 
[2010-09-12 11:51:31] NOTICE[32108] chan_sip.c: Registration from '<sip:[email protected]>' failed for '12.34.56.78:61000' - Wrong password
[2010-09-12 11:52:31] NOTICE[32108] chan_sip.c: Registration from '<sip:[email protected]>' failed for '12.34.56.78:61000' - Wrong password
Nachtrag: So wie es aussieht gab Asterisk 1.6 die WARNINGs ohne : Port aus.
Also müsste man bloß die /etc/fail2ban/filter.d/asterisk.conf etwas anpassen. Momentan sieht sie ja so aus:
Code: 
# Fail2Ban configuration file
# $Revision: 250 $

[INCLUDES]

[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The host must be matched by
# a group named "host". The tag "<HOST>" can be used for standard IP/hostname matching and is only 
# an alias for (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
 
Zuletzt bearbeitet:
HobbyStern schrieb:
Guten Morgen Kombjuder (lang nicht mehr zusammen geschrieben)
Zum Vergrößern anklicken....

Auch Guten Morgen,

noch ein Hinweis:

Wer Debian etch verwendet sollte entweder min. auf lenny updaten oder fail2ban nicht über apt installieren.

Das läuft irgendwie nicht rund. Die aktuelle Version von fail2ban läuft hier auf mehreren Servern einwandfrei.

Wenn wir schon dabei sind, den ssh-Port von 22 wegnehmen nach irgendwas 4 oder 5 stelligem verlegen. Seither habe ich keine Anriffsversuche mehr auf ssh.
 
@PsychoMantis - richtig, in 1.8 ist die Syntax anders - habe ich woanders bereits gelesen, ich würde nach dem Quelltext von chan_sip.c gehen. Ist am einfachsten, Du kannst ja IMHO auch nur einen Teilmatch nutzen.

SSH Port verlegen ist bei mir - bei öff. Maschinen standard...

LG Stefan
 
Wie muss die Zeile aussehen?
Code: 
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 631 (Mitglieder: 31, Gäste: 600)

Neueste Beiträge

Statistik des Forums

Themen
246,046
Beiträge
2,244,994
Mitglieder
373,451
Neuestes Mitglied
Ayzham
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück