Hacker in meinem Asterisk Server

[HobbyStern]

Hallo Mario,

in einem solchen BAN Fall wäre es natürlich auch denkbar das man eine öffentliche Blacklist pflegt - meine persönliche Meinung zu einem IP Range Ban ist allerdings etwas kontroverser.

IPTables hat bessere Methoden um "Mistkäfer" zu bannen...

EDIT

Nun kommt eine Neue Methode rein, ich sehe hier :

Registration from '"2302121545"<sip:2302121545@xxmeinestaticipxx>' failed for '187.63.73.3' - No matching peer found

Soll also heissen das wenn man sich versucht zu registrieren, der Asterisk doch wieder die Aussage "No Matching peer" ausgibt? Es gab aber auch nur eine einzelne Anfrage.

LG Stefan

 

[schufti]

Hi!

Also ein ganzes LAnd via IP zu bannen (iplist, ipdeny) ist nicht unüblich, aber auch nicht ganz einfach, schaut man sich die IP-Bereiche für Kandidatenländer an (sieh mal da)..... da wird der Router dann dank IP-Tables bald zum Nadelöhr ....

Im Asterisk Log findest du immer (auch) den wahren Grund für einen Registrierungsfehler, leider weiß man in dem Fall nicht, was dem Client mitgeteilt wurde. In meinem Beispiel (* 1.6) findest du den wahren Grund und die dem Client übermittelte Antwort. Wie sich 1.4 verhält weiß ich leider nicht, -> Irgendjemand?

schufti

 

[HobbyStern]

@Schufti

"Den wahren Grund" ? Gibt es in 1.6 Neue Logfiles oder was meinst Du damit?

IMHO habe ich ja "nur" die Möglichkeit warning, critical, info und verbose separiert zu legen. Ein genaues Registry Log ist mir unbekannt.

Meine Logger.conf kann dies ..:

[general]
;dateformat=%F %T                                       ; Wie soll der Datumsstempel ausgegeben werden, nach ISO Format.
appendhostname = no                             ; Soll der Hostname gleich dem Namen des Logfiles sein ?
queue_log = yes                                 ; Soll ich ausserordentliche Ereignisse loggen ?
event_log = yes                                 ; Soll ich Standard-Gedoens loggen ?

[logfiles]
stefan.fehler.log => error
stefan.warnungen.log => warning
stefan.verbose.log => verbose,notice,warning,error,dtmf
stefan.dtmf.log => dtmf
console => verbose,notice,warning,error,dtmf

Mach mich doch bitte mal fit wie es in 1.6 ist..?!

LG Stefan

 

[schufti]

Hi,

siehst du, ich habe nur notice,warning,error und bekomme trotzdem eine Meldung darüber, dass der client eine 'fake auth rejection' bekommt, zusätzlich zu einer über den wahren Grund 'not a local domain'

Daher meinte ich, dass offensichtlich zwischen 1.4 und 1.6 vom logging her ein Unterschied besteht ...

schufti

 

[HobbyStern]

Jep, dem scheint so zu sein - wusste ich auch nicht (aber wiederum - was weiss ich schon )

Ich habe mir die fail2ban Methode mal näher angesehen - einfach und sicher, sucht ja nicht mehr als nach den angegebenen Logmethoden und führt dann nach grep eine Aktion aus. Fand ich gut, ist integriert.

LG Stefan

 

[schufti]

Hi,
na dann hoffen wir mal, dass die Belestigungen deines Servers der Vergangenheit angehören.

Schlicht nach dem Motto des hl. St. Florian

schufti

 

[HobbyStern]

Ich hoffe - das es da nix zu hoffen gibt

IP Rules sorgen für eine optische Sicherheit, Fehlversuche laufen bei fail2ban ein und allgemein habe ich einfache "CAPTCHA" Methoden verbaut wenn eine ungewöhnliche Aktion erbeten wird.

Ggf. ist diese Unterwanderung mit absehbaren Kosten und einer Möglichkeit auf Klärung aller Geschehnisse gar nicht mal so verkehrt gewesen, immerhin war es nur ein "Angreifer" - schlechter wäre wenn man in einem dubiosen Forum als "leichte Beute" betitelt würde...

Soweit Danke an Alle, LG Stefan

 

[schufti]

Hi!

Habe gerade die sourcen für deine 1.4.23.1 durchgesehen und mußte feststellen, dass da durchaus auch die "Sending fake auth rejection for user ... " im message.log vorgesehen ist (wenn alwaysauthreject=y und allowguest=n).

Warum sie bei dir nicht kommt, kann ich so nicht sagen. Das kann ein Konfigurationsfehler sein, ein Fehler im Asterisk, ....

Überprüfe mal in der * console, ob die settings überhaupt gegriffen haben...

schufti

 

[HobbyStern]

Haben Sie ...

 Always auth rejects:    Yes

Settings für Guest habe ich in der CLI nicht finden können - sind aber lt. Konfig, ebenfalls wie die o.g. gesetzt.

...

LG Stefan

 

[robi1a]

Hallo
Gleich nach dem 1. Angriff habe ich allowguest=no (yes ist default). Und wie es so kommen musste hatte ich einen 2. Angriff mit brute force. Da wurde ein Account gehackt und fleissig damit telefoniert.

Daraufhin habe ich jetzt folgende Schritte durchgeführt:
- alle PWs geändert
- deny/permit rules gesetzt (wegen möglicher eingehender Anrufe)
- Port 5060 (bindaddr=<internal IP>) hinter die Firewall gesetzt
- zusätzliche Dial Rules: keine Gespräche mehr ins Ausland, Ausnahme 4 vordefiniert Destinationen

Ich habe zusätzlich auf meinem Asterisk-Server auch eine Firewall. Hatte früher bindaddr=0.0.0.0 damit das Port 5060 auch vom Internet erreichbar ist. Der Gedanke war das andere Firmen/Teilnehmer, die über SIP verfügen und in ENUM oder e164 registiert sind, direkt übers Internet telefonieren können ohne Gesprächsgebühren. Scheint das Port 5060 im Inet ein grosses Sicherheitsproblem ist. Port 5060 liegt jetzt hinter der FW somit gibt es jetzt nur mehr ausgehende Gespräche. Somit habe ich auch gleich deny 0.0.0.0, permit <interne Netz> gesetzt.
Auch alles was mit 00 beginnt (also Auslangsgespräche) wird abgewiesen. Ausnahme stellen 4 vordefinierte Destinationen dar.

;internationale Vorwahl
exten => _00X.,1,NoOp()
exten => _00X.,n,GotoIf($["${EXTEN:0:4} = "0043"]?allow:forbidden)      ; Österreich
exten => _00X.,n,GotoIf($["${EXTEN:0:4} = "0049"]?allow:forbidden)      ; Deutschland
exten => _00X.,n,GotoIf($["${EXTEN:0:4} = "0044"]?allow:forbidden)      ; England
exten => _00X.,n,GotoIf($["${EXTEN:0:4} = "0039"]?allow:forbidden)      ; Italien

exten => _00X.,n(allow),Noop()
exten => _00X.,n,Macro(HBHdial,${EXTEN},${EXTEN},HBHdialoutSIP _00X)
exten => _00X.,n,Hangup()

exten => _00X.,n(forbidden),Noop()
exten => _00X.,n,Verbose(1|>>>>>> forbidden number to ${EXTEN} from ${CALLERID(num)})
exten => _00X.,n,Hangup()

Hoffe das damit jetzt Schluss mit hacken ist.
Fail2Ban kannte ich nicht, schaue ich mir aber noch näher an.

 

[HobbyStern]

Es scheint ja doch ein Thema zu sein, mich würde mal interessieren wie viele gar nichts von dem Wissen was da passiert ... man denke nur mal an die zahlreichen TrixBox und was weiss ich wie Box Installationen die nur eine GUI bieten und als Overkill bei Langeweile mal eine total verfärbte CLI...

EDIT - BTW - ich habe gerade auf der CLI folgendes gesehen :

Sending fake auth rejection for user "Anonymous" <sip:[email protected];user=phone>;tag=f6b1741b-cc-4

Ich gehe also davon aus authreject und auch guest (denn anonymous wird verneint) nun einwandfrei funktioniert. Schön!

LG Stefan

 

[HobbyStern]

Letzter Schlusssatz von mir :

"Fail2Ban" und "Ip Deny" , "AuthReject" und "Guest=No" wirken wahre Wunder.

Hier ist es sehr ruhig geworden, es gibt zahlreiche Versuche (sehe ich ja nun per Mail über Fail2Ban) - aber nichts wirklich ernstes - richtig gut

Danke!

 

[wofritz]

mich würde mal interessieren wie viele gar nichts von dem Wissen was da passiert

Dann oute ich mich mal als erster. Ich habe das schlichtweg nicht überschaut und hatte den Port 5060 freigegeben, wie es hier immer empfohlen wird, und siehe da...

Glücklicherweise laufen hier alle Fehlversuche auf einen Error-Context, und es ist nichts passiert.

Man sollte vielleicht anmerken, dass es nicht immer notwendig ist, den Port 5060 freizugeben, wenn sich nur interne Geräte am Asterisk registrieren sollen und sich Asterisk bei einem VoIP-Provider registriert. Mit sipgate ist es definitv nicht erforderlich, und es lohnt sich sicher, das mal mit dem eigenen Provider zu testen.

Ich habe den Port 5060 geperrt und logge Zugriffe. Es sind pro Tag 2-3 Versuche.

Wolfgang

 

[geistio]

So... nun ist es passiert!
Bin nun auch einem "kleinkriminellen Cyberterroristen" zum Opfer gefallen...
Heute ist mir durch Zufall aufgefallen, dass unser Asterisk ziemlich verdächtige Vorwahlen anwählt.
Habe dann in den logs nachgesehen und bemerkt, dass der Spass schon seit ca. einem Monat so geht...
Schuld an der Sache war eine fehlende "deny=0.0.0.0/0" Zeile in der sip.conf!
Ich habe die IP-Adresse(n) des Angreifers sowie Datum und Uhrzeit...
Laut http://www.maxmind.com/ ist der Angreifer in Ägypten, Cairo ansässig.

Glaubt ihr, ich habe da irgendwelche Chancen an den ranzukommen?
Bzw. glaubt ihr, dass es was bringt den Typen anzuzeigen?
Hat jemand Erfahrung mit dieser Art der Kriminalität?
Vielen Dank im Voraus!

 

[HobbyStern]

@geistio

Eine Strafanzeige stellt man - wie in meinem Fall - (wirklich) bei der örtlichen Polizeibehörde (und nicht beim LKA, BKA oder sonstwo) - ich dreh den Spieß mal rum und schreibe Dir was hier so passiert :

StrafAnzeige gegen - erstmal unbekannt gestellt, LKA NRW.
LKA NRW gab diese dann an meine Polizeibehörde weiter.
Nach 10 Tagen habe ich beim LKA angerufen, fand heraus das ich "hier" anrufen muss.
Dort gab es dann auch einen Verantwortlichen, einen Bekannten obendrein.

Ich habe geliefert:

- IP aus Rumänien, statisch.
- IP aus den USA, einer Firma in IMHO Denver.
- Supportmails mit der Fa. MoPay (dort hatte mein 'Hacker' seinen Spieleaccount auf seinen echten Namen aufgeladen) - welche anbot der Polizei/Behörde alle Angaben zu geben, nur halt mir nicht.

Die leise Aussage vorher (so etwa im Sinnzitat):

PolizeiKommissar (PK): Rumänien? Uh. Selbst wenn Rumänien in der EU wäre - wäre das recht schwer.

Ich : Rumänien ist seit 2007 in der EU.

PK: Naja, auch dann wird da wahrscheinlich nichts passieren, wenn wir in Rumänien um Hilfe bitten und es geht nur um ein kleines Delikt, da kommt keiner raus.

Ich: Ja, davon ging ich ehrlich gesagt auch aus, jedoch ist es sicher einen Versuch wert, oder?

PK: Nun gut, die Strafanzeige ist ja hier, ich muss dem ja nun nachgehen. Senden Sie mir doch bitte alle Unterlagen per Mail...
[...]

Nun darfst Du Dir ein eigenes Bild machen...
:rosen:

Ich habe da irgendwann doch mal was gelesen...mhmm...ah! hier!


@wofritz

5060 blocken wenn Registrierungen nur vom Asterisk an mW SipGate gereicht werden ist sicherlich eine gute Idee, es dürfen halt nur keine Geräte außerhalb der Firewall eine Registrierung wollen, zBsp. "Wofritz von seinem WLAN Handy im Karibik-Urlaub"

5060 auf 5050 umzulenken o.ä. ist sicherlich auch eine gute Idee, da so "automatische Suchprogramme" nicht so schnell fündig werden - hängt es jedoch mit vielen, zu modifizierenden Geräten zusammen - die sich von außen eintragen und alle nunmehr auf einem anderen Port arbeiten müssen - ist das ganze eher fragwürdig in meinen Augen.

Ich kann von heute meine erste gebannte IP vermelden, aber seht selbst :

The IP 77.81.134.75 has just been banned by Fail2Ban after
5 attempts against ASTERISK.

also nochmals :

"Fail2Ban" und "Ip Deny" , "AuthReject" und "Guest=No" wirken wahre Wunder.

Wer Interesse hat - hier ist das HOWTO.

 

[muesli:66]

Uns ist das nun leider auch passiert...

Ich bin nun hergegangen und lasse alle anrufe an +53... in einem Konferenzraum landen. Hab mal ne Weile zugehört. Das scheinen ganz normale Telefonkunden zu sein, die jemanden anrufen wollten.

Kann es sein, dass es Provider gibt, die sich gehackter Server bedienen???

 

[gandalf94305]

Eher unwahrscheinlich... aber es mag ja durchaus sein, daß sich irgendwelche obskuren Callshops in noch mehr obskuren Regionen dieser Welt solcher Mittel bedienen, um kosteneffizient Kunden irgendwo anrufen zu lassen.

--gandalf.

 

[woprr]

Eher unwahrscheinlich

Absolut abwegig. Und was bitte sind "obskure Regionen"? Klingt nach Sarrazin...

 

[HobbyStern]

Ich würde mal sagen - ausgeschlossen ist es nicht.

In meinem Fall waren es eher "einsame Männer ab 40" - die sich nicht wirklich gesund anhörten (per RecordFile einfach mal verfolgt was da so passierte)

Ein Routing - und wie es zustande kommt - bleibt dem einfachen Telefonnutzer ja eigentlich verborgen, von daher..

Welche Sprache sprechen denn die "normalen" Menschen?

 

[schufti]

hobbystern:
In meinem Fall waren es eher "einsame Männer ab 40" - die sich nicht wirklich gesund anhörten

ah, dann haben die vermutlich die Keuchhustenhotline angerufen