Hacker in meinem Asterisk Server

[MET]

Gelöst: für HostDeny SSH Port 22 ändern

[Für die Lösung ein neuer Post]

OK. Jetzt funktioniert es dank dieser Hilfe. HostDeny vergleicht den Port mit dem Eintrag im File /etc/services. In diesem File muss zuerst zusätzlich zum bestehende Eintrag "ssh 22/tcp" der neue Eintrag bspw. "ssh 55555/tcp" angefügt werden. Danach ist der Port in /etc/ssh/sshd_config anzupassen und mit einem reload zu aktivieren. Am Schluss ist in /etc/services der Eintrag "ssh 22/tcp" zu löschen oder mit einem # zu deaktivieren.

 

[MET]

/var/lib/denyhosts/allowed-hosts

Alle IPs hierin werden NIE geblockt.

Hatte dies hier auch gefunden und ausprobiert. Bei mir hatte dies aber nicht funktioniert. Anscheinend ist für HostDeny der Port wichtiger.

 

[HobbyStern]

Ok, das sollte ich mir ebenfalls merken, wäre man an mir vorbeigegangen...

However - es funktioniert hoffentlich dann wenn man es braucht, Nachts um 1:30 - wenn in China Regen ist...

 

[MET]

Vorhin hat das Telefon (am Asterisk) kurz geklingelt. Schaute dann im messages File, ob ein Hacker durchkam. Fand dann folgendes:

[2010-11-01 21:42:46] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf2648-1f27bd6d-29f
[2010-11-01 21:43:45] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf2683-1f27a1d3-5142
[2010-11-01 21:44:27] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf26ae-1f29571e-370e
[2010-11-01 21:44:43] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf26be-1f29681b-1ea7
[2010-11-01 21:45:05] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf26e3-1f29db2d-1e4
[2010-11-01 21:45:28] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf26fb-1f2a3515-4a07
[2010-11-01 21:46:16] NOTICE[19561] chan_sip.c: Sending fake auth rejection for user <sip:[email protected]>;tag=0-13c4-4ccf271c-1f2af170-288

Dies war gestern Nacht. Gestern wurde keine IP blockiert. Stelle aber fest, dass zur Zeit als heute Morgen das Telefon kurz klingelte, meine eigene IP blockiert wurde. Gibt es da einen Zusammenhang? Hat jemand eine Idee was da passiert sein könnte?

 

[HobbyStern]

IMHO ist es so, das Du anscheinend einen Registrierung lokal mit einer falschen ID gemacht hast.

Ist dem so? Hast Du einen SIP Klienten, ein SIP Telefon oder sowas direkt auf dem Asterisk Server installiert (IP 127.0.0.1 oder localhost) ?

LG Stefan

 

[MET]

Nein, da gibt es keinen Client auf dem Asterisk, mindestens keinen von mir. Hatte gestern beim Einrichten einer Anrufweiterleitung auf em Asterisk etwas Probleme. Die letzten erfolgreichen Tests waren hingegen mehr als 10 Minuten vor diesen Einträgen.

 

[HobbyStern]

Ggf. will der Asterisk sich selber mit dem Asterisk verbinden?

Ggf. möchtest Du mal einen NetTracer mitlaufen lassen?

Vielleicht hilft /var/log/auth.log Dir um herauszufinden ob Du bereits gehackt bist?

Vielleicht hilft "chkrootkit" Backdoor Programme zu finden?

Vielleicht hilft Dir "tripwire" unbefugten Zugriff Netzwerkweit zu filtern?

Fragen über Fragen

LG Stefan

 

[MET]

Hast Du einen SIP Klienten, ein SIP Telefon oder sowas direkt auf dem Asterisk Server installiert (IP 127.0.0.1 oder localhost) ?

Auf dem vServer nicht. ABER: Ich vermute, dass dies der PSTN-Trunk von meinem SPA3102 ist. Hatte dort "register=yes" aber keine Angaben um ihn mit dem Asterisk zu verbinden, wollte dies bisher auch nicht.

 

[HobbyStern]

Hallo Gemeinde,

es gibt Neues !!!

In meinem Fall habe ich von der zuständigen Polizeibehörde "natürlich" die Einstellung des Verfahrens erhalten - war klar. ABER !

Man hat in Bulgarien / Rumänien durch Europol (europ. Geheimdienst) eine Gruppe von 30 Hackern dingfest gemacht in welchem auch mein Fall inbegriffen ist, insgesamt soll es sich um 20.000 zuzuordnende Kriminalfälle handeln, welche nur auf dieses Konto gehen.

Was dort nun passiert darf man mir nicht sagen - aber immerhin wurde mal etwas für die Datentechnik und deren Schutz getan, das freut mich.

 

[n8isch]

Na, dann drück' ich dir mal die Daumen. Europol ist aber kein Geheimdienst, sondern "nur" die europäische Polizeibehörde.

 

[HobbyStern]

Das war das Zitat der KriPo, es steht jedoch wie Du es schreibst schwarz auf weiß in 'wikipedia' (hab grad mal nachgesehen) das es sich dabei "nur" um eine polizeiliche Koordinierung handelt, allerdings warf Google auch zum Thema Geheimdienst in vbdg. mit Europol etwas mehr aus - da die Verbindung dort wahrscheinlich recht flüssig sein dürfen, ein Geheimdienst ist ja zur Beschaffung von Informationen aus "nicht legalen" Quellen dar, so wenigstens meine Interpretation.

Ein Nachrichtendienst oder Geheimdienst ist eine verdeckt operierende Behörde, die zur Gewinnung von Erkenntnissen über die außen-, innen- und sicherheitspolitische Lage die erforderlichen Informationen auch mit nachrichtendienstlichen Mitteln sammelt und auswertet.

Offiziell Polizei, ich denke aber das der Name "Nachrichtendienst" den Kern wirklich trifft - schließlich ist die Aufgabe in der "Besorgung von Informationen und deren schlussfolgerlichen Koordination & Verteilung" festgemacht.

Siehe u.a. hier - "Europol - der europ. Geheimdienst"

Schaut man auf die Europol Website so bin ich für meinen Teil etwas verwirrt, ich habe noch nie eine "nicht fertige" Regierungs/offiziellen Site gesehen Wollen wir hoffen das die Jungs keine Zeit dafür haben weil sie uns so viel helfen wollen..!

Nasses WE noch! Hier kippts wie aus Eimern :-( und hör jetzt auf mit "Recht haben"

 

[beelze68]

Angriff auf Asterisk

Seit 2 Tagen wird mein Asterisk attakiert.Habe den Angreifer über IP Tables ausgesperrt.

Kann mir jemand sagen wie ich folgende Meldungen in meinem Asterisk message log einordnen soll?
69.39.235.19 -> ist der Angreifer

[Nov 14 12:35:01] NOTICE[14097] chan_sip.c: Registration from '"sipgate" <sip:[email protected]>' failed for '69.39.235.19' - Peer is not supposed to register

Gut er konnte sich nicht registrieren. Geht davon eine Gefahr aus ?

Vielen Dank

 

[rentier-s]

Die Meldung kommt, wenn ein Client versucht sich als User zu registrieren, für den kein host=dynamic gesetzt ist.

In Deinem Fall hast Du wahrscheinlich (wie viele andere) ein Peer namens [sipgate], und als solches wollte sich der Angreifer registrieren. Wegen host=sipgate.de geht das aber nicht.

 

[Mona]

Ich habe genau das gleiche Problem, "nur" dass der Angreifer es mehrmals pro Sekunde probiert. Ich bekomme als seit Stunden Log-Meldungen

[2010-11-15 18:11:48] ERROR[3869]: chan_sip.c:8764 register_verify: Peer 'sipgate' is trying to register, but not configured as host=dynamic
[2010-11-15 18:11:48] NOTICE[3869]: chan_sip.c:15593 handle_request_register: Registration from '"sipgate" <sip:[email protected]:5060>' failed for '60.191.187.236' - Peer is not supposed to register
[2010-11-15 18:11:48] ERROR[3869]: chan_sip.c:8764 register_verify: Peer 'sipgate' is trying to register, but not configured as host=dynamic
[2010-11-15 18:11:48] NOTICE[3869]: chan_sip.c:15593 handle_request_register: Registration from '"sipgate" <sip:[email protected]:5060>' failed for '60.191.187.236' - Peer is not supposed to register

Gibt es eine Möglichkeit, Registrierungen von bestimmten IP-Adressen zu blockieren? Die Logfiles sind bereits größer als 1 GB. Natürlich kann ich die immer von Hand löschen, aber das ist ja nicht Sinn der Sache...

 

[rentier-s]

Ja gibt es, iptables zB., bevorzugt in Verbindung mit fail2ban, wie bereits mehrfach hier im Forum diskutiert.

Außerdem macht der Einsatz von logrotate Sinn, aber das nur nebenbei.

 

[Mona]

Auf fail2ban bin ich auch schon gestoßen, aber nachdem bei mir firewall und Asterisk-Server auf unterschiedlichen Rechnern installiert ist, kommt shorewall nicht an die logfiles von Asterisk heran...

Kann es auch sein, dass die Ip-Adresse, die bei Asterisk angeigt wird, in irgendeiner Weise falsch ist? Ich habe mal manuell auf der Firewall alle Zugriffe von 60.191.187.236 gesperrt und asterisk neu gestartet. Die Registrierungsversuche laufen aber munter weiter... ?

"allowguest=no" und "contactdeny=60.191.187.236" in sip.conf blieben ebenfalls ohne Wirkung...

 

[rentier-s]

dass die Ip-Adresse, die bei Asterisk angeigt wird, in irgendeiner Weise falsch ist?

Ist mir persönlich noch nicht untergekommen, aber was ist schon unmöglich. Das sollte sich mit entsprechenden Tools, zB. Wireshark, herausfinden lassen.

Du könntest die Logfiles zB. über smb, tftp, http, ... kopieren. fail2ban ist schon eine gute Sache. Vorausgesetzt natürlich, Du bekommst die richtige IP-Adresse.

Svenja

 

[schufti]

Hi!

Naja, ich könnte mir ein Szenario vorstellen, wo ein Hacker in den SIP-Paketen eine andere Adresse angibt (via-header ???) als im IP-Paket drin steht (also von wo die Pakete wirklich kommen); dann könnte das schon so aussehen. Asterisk meldet dann die gefakte IP, welche von fail2ban geblockt wird, aber davon gibts ja genug ...

So kann er mal mit gefakten IPs eine user/pw Kombi ermitteln um sich dann erfolgreich mit seiner echten IP im SIP-Paket anzumelden.

Welche IP asterisk jetzt zum blocken auswertet (IP/SIP) und wohin die Antwort geht (IP/SIP) müßte man aus dem *code lesen. Eine ähnliche Problematik gibt es ja auch bei der NAT Detektion im *

schufti

 

[stinkstiefel]

Da hat aber jemand ganz schön viel Fantasie, sagt dir "inet_ntoa" etwas?

Edit sagt: Zu contactdeny gibt es allerdings einen interessanten Test.

 

[schufti]

Ja und was hat das jetzt mit damit zu tun wie man Felder in völlig anderem Kontext - nämlich ca. 3 Lagen höher im OSI - befüllt?

Gibts ja auch in enger benachbarten Layers - schon mal was von IP-spoofing gehört?

Hätten die Hacker nicht mind. ebensoviel "Fanta"sie (ich hasse dieses Getränk) wären sie wohl keine wirkliche Plage ?!?! Und Gott sei Dank ist dazu noch viel mehr Phantasie notwendig, sonst wäre dem gar nicht mehr bei zu kommen ....

schufti