Hacker in meinem Asterisk Server

[rentier-s]

Das wäre wirklich interessant, welche Adresse Asterisk im Log ausspuckt.

Ich bin da keine Expertin, aber ich habe das so verstanden, wenn in der sip.conf nat gesetzt ist, wird als erstes Via doch auch die echte Quelladresse gesetzt, und nicht die, die der Client angibt, oder?

 

[stinkstiefel]

Die LOG NOTICE wird damit gefüttert. Wo und wie nun aber contactdeny ansetzt hab ich mir auch noch nicht näher angeschaut.

 

[kknapp]

Hack der Asterisk Anlage

Ich habe seit ein paar Tagen folgende Hacker Angriffe auf meinen Asterisk Anlagen, die Burschen versuchen Systematisch die SIP Accounts zu
öffnen.

Hat jemand gute Vorschläge wie man die IP´s automatisch sperren kann wenn
mehr als 5 mal eine deartige Anfrage kam ?

Die verwendeten IP´-Adressen sind alle gefälscht und wechseln alle paar Stunden.

[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"qwerty1"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"123456"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"password"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"p@ssw0rd"<sip:p@[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"P@ssw0rd"<sip:P@[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"Password1"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"parola"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"12345678"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"87654321"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"0000"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"00"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"000"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"000000"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"00000000"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"9999"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"999"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"99999999"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"1"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"2"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"3"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"4"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"5"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"6"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"7"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"8"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"9"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"10"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"01"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"02"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"03"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"04"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"05"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:11] NOTICE[26668] chan_sip.c: Registration from '"06"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"07"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"08"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"09"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"11"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"12"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"13"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"14"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"15"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"16"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"17"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found
[Dec 13 16:34:12] NOTICE[26668] chan_sip.c: Registration from '"18"<sip:[email protected]>' failed for '112.151.80.133' - No matching peer found

 

[HobbyStern]

Oder dieses HowTo...

 

[HobbyStern]

Zum Thema Sicherheit seien noch folgende Links notiert :

Zugriffsüberwachung per Mini-FastFood-Skript
Großes HowTo zu Fail2Ban (cmmehl-danke!)
MeinHowTo zur Asterisk-Sicherheit
Asterisk-Security (ungeprüft)

 

[mario2006]

Das kleine 1 x 1 bei Uebernahme/Neuinstallation eines vServers oder dedicated Server´s

Das Ergebnis, nicht oder schlecht abgesicherter Server ist dieser komplette Beitrag im Forum welcher nun schon
ueber 260 Postings zaehlt. Es soll niemand denken, "Es trifft mich nicht!"

Deshalb hier das Basic.

Bei der Uebernahme/Neuinstallation eines Servers gehe ich wie folgt vor.

- Zuerst lege ich mir einen neuen User mit SSH Zugriff an. Ich waehle einen Username mit Buchstaben, Zahlenkombination, Sonderzeichen beim PW ebenso.
- Den neuen user fuege ich in der datei /etc/sudoers hinzu

Danach versuche ich root rechte mit dem neuen user zu erlangen kann und logge mich ueber SSH ein.

sudo su - (bekomme ich root Rechte)

Habe ich mit dem neu erstellten User Rootrechte bearbeite ich die Datei /etc/ssh/sshd_config

- Zuerst aendere ich den SSH Port z.B. auf 2310, dies bewirkt bei Angriffen ueber SSH Port 22 einen Timeout. So hat der Hacker erst mal
Muehe den offenen SSH Port zu finden.
- PermitRootLogin no dies verhindert eine Anmeldung mit dem Benutzer root
- MaxAuthTries 3

Danach SSHd neu starten.

Fertig.

Natuerlich gibt es noch viele weitere Möglichkeiten wie RSA keys, etc., aber ich denke das ist ein einfacher und schneller Weg
einen Server sicherer zu machen.

Verbesserungsvorschlaege sind herzlich willkommen.

Nachtrag:
Ich hatte noch die ganzen Freelancer vergessen, die mal auf die schnelle einen Apache konfigurieren fuer 10 oder 15 USD. Und kostenlos
kleine Hackertools dazu packen. Viel Spass dann mit dem Server!

Gruesse
Mario

 

[HobbyStern]

Ähm, Du weisst das es hier um die Sicherheit bei einem ASTERISK Server geht?

Das SSH gesichert sein sollte war irgendwie ein anderer Bereich...?!
Abetr trotzdem Danke!

LG Stefan

 

[mario2006]

Hallo Stefan,

Ähm, Du weisst das es hier um die Sicherheit bei einem ASTERISK Server geht?

Sicher weiss ich das, ich habe auch einige nützliche Beiträge zu fail2ban in diesem Forum geschrieben.

Das SSH gesichert sein sollte war irgendwie ein anderer Bereich...?!

Ein ungesicherter Server ist mit unter anderem die Ursache für die Angriffe auf "unsere" Asterisk.

Grüsse
Mario

 

[HobbyStern]

Hallo Mario,

nun gut. Lässt sich drüber reden, ich würde einen SSH Angriff bei "zu niedrig gesetztem Passwortzeichen" oder "kein alphanumerisches kennwort" oder "root - zugriff primär erlaubt" oder "alle ips sind willkommen" etc etc eher als ein defacto schlunziges Verhalten einschätzen, da ein SSH Angriff sehr üblich ist - bzw. nicht so unüblich wie ein Asterisk Angriff vor 2 Jahren noch war.

Wie dem auch sei :

Aber trotzdem Danke!

Empfehlung für die LinuxNeulinge - oder ServerUmzügler :

"100 Linux Server Hacks"
oder
"100 Neue Linux Server Hacks"
oder
"Netzwerk Sicherheit - praktisch und gut"
oder oder

Die ersten beiden sind eine super Klo-Lektüre, so lernt man bei den Zwangspausen des Lebens (auch SSH zu sichern)

LG STefan

 

[MET]

Bei geöffneter CLI erhalte ich eben folgende Meldungen:

-- Starting Skinny session from 218.188.0.232
[2011-04-15 23:24:44] WARNING[17805]: chan_skinny.c:4477 get_input: Skinny Client sent less data than expected. Expected 4 but got 0.
-- Starting Skinny session from 218.188.0.232
[2011-04-15 23:40:25] WARNING[25962]: chan_skinny.c:4477 get_input: Skinny Client sent less data than expected. Expected 4 but got 0.
-- Starting Skinny session from 218.188.0.232
[2011-04-15 23:56:04] WARNING[12781]: chan_skinny.c:4477 get_input: Skinny Client sent less data than expected. Expected 4 but got 0.

Kann mir jemand einen Tipp geben was der Chinese hier machen will. Danke.

Habe nachträglich gelernt, dass der Asterisk neben IAX und SIP auch das "Skinny Client Control Protocol (SCCP) von Cisco Systems" enthält. Was könnte der Chinese mit SCCP alles machen?

Im "Messages"-File sieht dies dann so aus:

[2011-04-15 23:56:04] WARNING[12781] chan_skinny.c: Skinny Client sent less data than expected. Expected 4 but got 0.
[2011-04-15 23:56:04] NOTICE[12781] chan_skinny.c: Skinny Session returned: Success

Was ist in dieser Meldung mit "success" (Erfolg) gemeint?

 

[rmh]

Hallo MET, wenn du sccp nicht verwendest, kannst du - zumindest bis zur Klärung -

noload => chan_skinny.so 
noload => chan_sccp.so

in die /etc/asterisk/modules.conf schreiben.


Gruß
R.

 

[MET]

Danke, rmh, für den Tipp. Habe dies eingetragen und auch reload nicht vergessen ... aber der Chinese und inzwischen noch eine andere IP knappern fröhlich weiter. Habe während den letzten 13 Stunden durchschnittlich alle 20 Minuten einen solchen Eintrag.

 

[n8isch]

Trag' die beiden ip's doch einfach händisch in /etc/hosts.deny ein. Dann hast Du erst einmal Zeit fail2ban und denyhosts zu installieren und deinen Asterisk laut Anleitung gegen Anfang dieses Threads abzusichern.

 

[MET]

Trag' die beiden ip's doch einfach händisch in /etc/hosts.deny ein.

OK, ist aber nur eine provisorische Lösung.

Dann hast Du erst einmal Zeit fail2ban und denyhosts zu installieren und deinen Asterisk laut Anleitung gegen Anfang dieses Threads abzusichern.

Irgendwo in diesem langen Thread steht auch, wie ich den Asterisk gegen Hackerangriffe abgesichert habe. Dies mit SCCP ist - mindestens für mich - eine neue Hacker-Version auf den Asterisk zuzugreifen.

 

[n8isch]

Irgendwo in diesem langen Thread steht auch, wie ich den Asterisk gegen Hackerangriffe abgesichert habe. Dies mit SCCP ist - mindestens für mich - eine neue Hacker-Version auf den Asterisk zuzugreifen.

Nunja, Du schriebst ja, daß sie, nachdem Du sccp und skinny abgeschaltet hattest, weiterhin versuchen zuzugreifen. da ging ich davon aus, Du hättest SIP etc. ebenfalls ungeschützt (durch fail2ban überwacht). Auf Anfragen an SCCP sollte Asterisk ja nun nicht mehr reagieren.

Klar ist das eine provisorische Lösung, deshalb auch der Hinweis auf fail2ban und denyhosts (die Du allerdings bereits zu nutzen scheinst.)

Viele Grüße
n8|

 

[MET]

Hallo MET, wenn du sccp nicht verwendest, kannst du - zumindest bis zur Klärung -

noload => chan_skinny.so 
noload => chan_sccp.so

in die /etc/asterisk/modules.conf schreiben.

Dein Tipp, rmh, war schon richtig. Wie ich hier erfahren habe, braucht es dafür jedoch mehr als ein normaler reload.

Es wäre aber trotzdem interessant zu wissen, was via SCCP mit dem Asterisk gemacht werden kann.

 

[RalfFriedl]

Vielleicht einfach "nur" auf Deine Kosten telefonieren, wie es häufig auch das Ziel von SIP-Scans ist.

 

[MET]

Ich weiss nicht wie SCCP funktioniert. Diese Verbindungen scheinen jedoch anders zu sein als die SIP-Scans mit denen versucht wird zu telefonieren. Bei der erfolgreichen Verbindung ohne Passwort im Intervall von etwa 20 Minuten wird mit den getroffenen Vorkehrungen die IP nicht blockiert. Es wird anscheinend auch nicht versucht ein Passwort zu knacken oder einen Telefonanruf zu machen. Ich dachte deshalb auch an ev. abhören von (SIP-)Telefongesprächen oder die IP für andere illegale Zwecke zu verwenden.

 

[sgofferj]

Auf Port 2000 laufen viel interessantere Sachen als SCCP. Standardmäßig gehört der Port zum Sieve Protokoll, welches Mailfilter auf einem IMAP Server verwaltet. Besonders die Meldung "Client sent less data than expected. Expected 4 but got 0." läßt mich vermuten, daß der Remote Host nicht versucht hat, SCCP mit Deiner Box zu sprechen...

 

[tifa]

Ab Asterisk 1.8 fail2ban braucht neue failregex

# Fail2Ban configuration file
#
#
# $Revision: 250 $
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
#before = common.conf


[Definition]

#_daemon = asterisk

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex = Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
	    Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
	    Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
	    Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
	    Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
	    NOTICE.* <HOST> failed to authenticate as '.*'$
	    NOTICE.* .*: No registration for peer '.*' (from <HOST>)
	    NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
	    VERBOSE.* logger.c: -- .*IP/<HOST>-.* Playing 'ss-noservice' (language '.*')

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =