Hilfe bei Log-Analyse - Eventuell Hacker?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
X

xoxys

Neuer User
Mitglied seit
14 Sep 2012
Beiträge
10
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.

Ich habe gerade in meinem Logfile komsche Einträge gefunden:
Code: 
[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c"

Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.

Vielen Dank und schöne Grüße
xoxys
 
Hi,

also mit dem Security-Log hab ich mich noch nicht aussereinandergesetzt. Ich konnte zum Event "ChallengeSent" nichts in der Doku finden (https://wiki.asterisk.org/wiki/display/AST/Security+Log+File+Format)

Jedoch schätze ich, dass da entweder ein INVITE von der 37.8.1.113:28858 gesendet wurde oder ein REGISTER. Aber das sollte man unter /var/log/asterisk/full genauer sehen was dein Asterisk zurückgegeben hat. Müsste dazu ein NOTICE geben.

Hast du einen ausschnitt aus dem full-Log zu diesem Versuch? Vllt. kann ich dir dann weiterhelfen.

Wie sieht [general] in deiner sip.conf aus?

Ist
Code: 
allowguest=no
und
Code: 
alwaysauthrect=yes
gesetzt?

Hast du in der extensions.conf den context default abgesichert?

Ich würde noch ein Pattern für diese Meldungen unter Fail2Ban erstellen, damit er auch diese Versuche blockt.

Vorab würde ich behaupten, dass der "Hacker" nicht erfolgreich war :) Jedoch kann ich das erst sicher sagen wenn ich den Rest der Logfiles gesehen hab :p

Einen guten Rutsch!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 936 (Mitglieder: 29, Gäste: 907)

Neueste Beiträge

Statistik des Forums

Themen
246,616
Beiträge
2,254,949
Mitglieder
374,531
Neuestes Mitglied
gegis
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück