Hacker in meinem Asterisk Server

[rmh]

Nach deinem Beispiel kann man den im folgenden Code rot dargestellten Teil weglassen:

failregex = [COLOR="red"]NOTICE.* .*:[/COLOR] Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password

Ist das Absicht? Wird der entsprechende Log-Eintrag mit der von dir gezeigten asterisk.conf trotzdem gefunden?


Gruß
R.

 

[tifa]

Das hab ich im google gefunden und es funzt hab selber ausprobiert
weil mit alte config gings ned

 

[risker]

Ich habe eine asterisk 1.2 rumstehen und bei mir matchen diese Regeln:

failregex = NOTICE.* .*: Registration from '\".*\"' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '\".*\".*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

Die Versuche sehen so aus:

[Jan 19 06:32:34] NOTICE[4177]: Registration from '"xx" <sip:[email protected]>' failed for '183.230.96.41' - Wrong password
[Jan 19 06:32:34] NOTICE[4177]: Registration from '"xx" <sip:[email protected]>' failed for '183.230.96.41' - Wrong password
[Jan 19 06:32:34] NOTICE[4177]: Registration from '"xx" <sip:[email protected]>' failed for '183.230.96.41' - Wrong password


:EDIT: Diese REGEX tut es:
NOTICE\[.*\]: Registration from '.*' failed for '<HOST>' - Wrong password

 

[HobbyStern]

Ich bin gerade zum ersten Mal aus Deutschland "versuchsweise gehackt" worden - fail2ban hat ordentlich agiert....:

The IP 188.138.91.50 has just been banned by Fail2Ban after 2 attempts against ASTERISK.

ein WHOIS findet :

role:           Intergenia Technik address:        intergenia AG address:        Daimlerstr. 9-11 address:        50354 Huerth

Scheint eine kleinere Serverfarm gewesen zu sein....

Ich schreibe dennoch mal eine süße Mail....ist ja immerhin Deutschland und meine kleine Firma ist ein Unternehmen...

Liebe Grüsse,

Stefan

 

[RalfFriedl]

So etwas ähnliches hatte ich auch mal, auch wenn es da um MySQL ging. Auf jeden Fall waren sie froh über die Mitteilung. Man kann davon ausgehen, dass einer der dortigen Server durch eine Sicherheitslücke oder Fehlkonfiguration von jemand anderem für solche Zwecke genutzt wird.

 

[HobbyStern]

So seh ich das auch - jedoch ist die IP Adresse schon 5 Minuten nach Angriff nicht mehr erreichbar...da drängt sich mir ein anderes Bild auf

 

[RalfFriedl]

Vielleicht haben sie schon anderweitig gemerkt, dass etwas nicht stimmt.
Ich glaube nicht, dass ein Angreifer irgendwo einen Server mietet.

 

[HobbyStern]

Würde ich auch nicht wirklich glauben, aber ggf. testet da einer ein Programm?
Irgendwann habe ich mir ja auch mal die Software dazu angesehen um zu verstehen wo und wie man die Schwachstellen sichern kann - ich habe es damals mit meinem eigenen Asterisk gemacht, aber was ist wenn man keinen hat :lach:

Ich geb mal Feedback...

Grüsse!

 

[ThePet]

Ich bin gerade zum ersten Mal aus Deutschland "versuchsweise gehackt" worden - fail2ban hat ordentlich agiert....:

The IP 188.138.91.50 has just been banned by Fail2Ban after 2 attempts against ASTERISK.

ein WHOIS findet :

role:           Intergenia Technik address:        intergenia AG address:        Daimlerstr. 9-11 address:        50354 Huerth

Scheint eine kleinere Serverfarm gewesen zu sein....

Ich schreibe dennoch mal eine süße Mail....ist ja immerhin Deutschland und meine kleine Firma ist ein Unternehmen...

Liebe Grüsse,

Stefan

Ist eine Server Farm. Die haben mich auch versucht zu Hacken.
Hatte da noch nicht Fail2ban auf der Maschine. Nachdem Fail2ban installiert war änderte sich der Angriff vom registrieren in einen Port Flooding Angriff. Der Server hatte in 4 Tagen 16 Millionen Pakte auf meinen Asterisk gefeuert mit einem Datenvolumen von 5,6 Gb mit entsprechenden Bandbreitenverlust meiner Infrastruktur.

Hab dann eine Nette Mail an Abuse geschickt die ohne Reaktion verpuffte. 2Tage später eine schärfere mit CC Vorstand und Androhung das sie eine Anzeige wegen § 303b bekommen wenn der Angriff nicht in 2 Tagen beendet ist.
Dann war erstmal Ruhe.
Trotzdem finde ich immer wieder Verbindungsversuche von denen im Fail2ban log mit entsprechenden Bans.
Die scheinen ein kleines Sicherheitsproblem zu haben.


gruß ThePet

 

[HobbyStern]

Moin,

bei mir ist es mittlerweile erledigt, ich habe aber auch nachgeholfen und die IP (Range) temporär gebant - eine Email ging auch bei mir (erstmal) ins Leere..

2Tage später eine Schärfere mit CC Vorstand und Androhung das sie eine Anzeige wegen § 303 bekommen wenn der Angriff nicht in 2 Tagen beendet ist.

Ich bin nach zahlreichen Hacks und zahlreichen BAN Emails den Weg des Briefes gegangen - eine Antwort kam dann (SOFORT) per Mail - man versicherte mir das man sich diesem Problems annehmen werde (vorher bräuchte man jedoch noch (mehr) LOGS, als die die ich gebraucht hätte - die gab es dann natürlich auch (per Mail)).

Ob sich etwas geändert hat weiss ich nicht - die ganze IP Range ist bei mir gebannt bis Mitte des Jahres, da scheint eh keine Partnerschaft zu existieren..

Grüsse, Stefan

 

[HobbyStern]

Update

Die o.g. IP ist nach dem Ende der zeitlich begrenzten IP BANs (7 Tage) - sofort wieder aktiv und versucht IDs zu bruten..

Langsam wird es nervig..

 

[ThePet]

Chain fail2ban-ASTERISK (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any zulu507.startdedicated.com anywhere
0 0 DROP all -- any any 46.165.195.137 anywhere
0 0 DROP all -- any any india036.startdedicated.com anywhere
0 0 DROP all -- any any xray900.startdedicated.com anywhere
0 0 DROP all -- any any dragon835.startdedicated.com anywhere
4407K 3593M RETURN all -- any any anywhere anywhere


Also ich weiß langsam nicht was die machen. Vielleicht ist das Rechenzentrum teil eines Anonymisierungs Dienstes wo sich die Hacker drüber austoben oder die haben echt ein Problem mit ihren Rechnern. Auf jeder der Maschinen läuft ein Proxy.
Aber sei froh das sie kein flooding machen. Die Verbindungsversuche landen doch direkt im Bann. Setz die Banntime höher. Dann verlieren die schnell das Interesse an dir.

gruß Pit

 

[HobbyStern]

Setz die Banntime höher.

Ich hatte jetzt 7 (!) Tage - trotzdem isser wieder da....

EDIT:

inetnum:        188.138.0.0 - 188.138.127.255 netname:        DE-INTERGENIA-20090508 descr:          intergenia AG

Komplette Range gebant - permanent. Ruhe

 

[Timmbo]

Hi "Kollegen",

auf unseren VoIP-Server das gleiche Spiel auch noch von einer anderen IP-Range welche denen zuzuordnen ist 85.25.0.0/16.
Ich hatte letzte Woche auch schon eine Mail hingeschrieben, auch die Antwort bekommen, dass es nicht reicht die brauchen mehr Logauszüge, jedoch glaube ich inzwischen, dass die da mit von der Partie sind, wie damals der große Provider in den USA, der den Spammern Space/hardware bietete.
Eine zweite Mail ging anfang dieser Woche raus, mit Wireshark Logs, also das sieht man dann auch das es sich um sipvisius scanner Software handelte, auch nichts passiert. Werde da weitere Schritte unternehmen(ct/BSI), denn die Unterstützen meiner Meinung nach die Verbrecher. Ist übrigends plusserver.de.
Jetzt um 20:42 wieder auf 2 Systemen von 188.138.112.31.

Grüße
Timm

 

[HobbyStern]

Hi Timm,

ich habe mittlerweile mehrmals das Feedback "Informationen erhalten, wir werden uns kümmern" erhalten, jedoch habe ich hier mittlerweile 4-5 Anfragen von plusserver"n" am Tag - die scheinen ein sehr ernstes Sicherheitsproblem zu haben - wie geschrieben, bei mir gehen diese Anragen der o.g. Range direkt kurz ins Log und dann ins Nirvana...

ABUSE bei PLUSSERVER ist eher ein Witz, als eine Institution....

 

[Timmbo]

Hi Hobbystern,

ja das mit abuse kannste vergessen. Unsere Systeme sind ja da auch geschützt, nur ich denke mir das man das Unterbinden sollte, da ja eine ernste Gefahr für Betreiber ausgeht, denn wenn die nicht geschützt sind, ensteht evtl. wieder ein Schaden von mehreren Tausend Euro.
Habe ct schon informiert, aber noch kein Statement erhalten.

Grüße
Timm

 

[HobbyStern]

Hi Timm,

kannst Du mich aufklären - wer ist "ct"

was meinst du mit "Unsere Systeme sind ja da auch geschützt" - bist Du auch bei "PlusServer" ?

Entweder heute ist Freitag oder ich verstehe Deine Antwort nicht

LG Stefan

 

[Timmbo]

Hi Stefan,

mit "ct" meine ich die Zeitschrift von Heise.
Lambdanet ist auch schon informiert, deren Uplink bzw. Peering-Partner.
Mit "unsere Systeme" meine ich unsere VoIP-Systeme, die aber bei uns in AT stehen.

Grüße
Timm

 

[HobbyStern]

Okay, Danke!

Die "ct" hatte ich anscheinend richtig herausgelesen, aber meinst Du wirklich das juckt da jemanden?
Ich denke im Großen und Ganzen sollte es die Kunden von plusserver interessieren, die da anscheinend mit einem alten VirtualHost arbeiten müssen, oder alternativ einem der nicht gut gepflegt wird...

Beachtenswert ist aber die Masse die mittlerweile auf offene VoIP Ports scannt...das gab es vor 3 Jahren noch nicht und als ich 2005 begann war ein VoIP-Hacker etwas seltsames, was auf einer Höhlenwand skizziert wurde...

Danke für die Aufklärung! Teils mir mit wenn ich mich irre und jemand sich für "uns kleine" interessiert...

Grüsse,

Stefan

 

[ThePet]

Glaube da läuft ein Anonymisierungs Dienst. Bei mir hatten sie ja den Port geflooded. Nur war die Bandbreite nur knapp 1Mbit. Wenn der Angriff direkt käme wäre mein Server down gewesen. Bandbreite haben die doch ohne Ende.

gruß ThePet