[Problem] Hilfe ... Häcker scännen glaube ich ....

[toto77]

Hallo,

wenn ich bei meinen FreePBX "Aktuell") die Asterisk Info -Chan_Sip Info ... aufrufe ... steht da ... über 100 mal ...

209.126.117.65   (None)           601276288        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           2695968261       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           246079259        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           2752179229       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           2073612713       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           949609203        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           286125215        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           255683390        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           677672758        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           1826826844       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           3977173222       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           534612119        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           589016756        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           4221598355       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           916069679        (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           2281147352       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           3507437023       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           2881962522       (nothing)        No       Rx: REGISTER               <guest>   
209.126.117.65   (None)           727571289        (nothing)        No       Rx: REGISTER               <guest>

unter ssh asterisk -r (cli)

:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2717352058" <sip:[email protected]>' failed for '209.126.117.65:5199' - Wrong password
[2016-11-16 18:01:18] NOTICE[2580]: chan_sip.c:28484 handle_request_register: Registration from '"2657322253" <sip:[email protected]>' failed for '209.126.117.65:5206' - Wrong password
[

in der CDR steht ...

2016-11-16 16:48:37

1479311317.10819

99941

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:37

1479311317.10818

99937

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:37

1479311317.10816

99925

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:37

1479311317.10817

99936

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:37

1479311317.10815

99924

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10812

99896

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10813

99897

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10814

99906

Hangup

s [from-trunk]

ANSWERED

00:12

2016-11-16 16:48:36

1479311316.10810

99877

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10811

99878

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10809

99861

Hangup

s [from-trunk]

ANSWERED

00:13

2016-11-16 16:48:36

1479311316.10808

99858

Hangup

s [from-trunk]

ANSWERED

00:12

Das habe ich ittlerweile sehr oft am tag ... ich habe die meinsten ip´s geblockt und
host -t any 2.0.0.127.bl.blocklist.de aktiv

aber das scheint nicht zu reichen ...

Was kann ich noch tuhen ....

Danke Gruß
Thomas

Ps: Die Nebenstellen 246079259 usw existieren nicht ... !

 

[ktw2003]

Ganz oben in der Rubrik Asterik festgepinnt, ein muss ....

Wichtig: Hacker in meinem Asterisk Server

 

[toto77]

Danke

Ganz oben in der Rubrik Asterik festgepinnt, ein muss ....

Wichtig: Hacker in meinem Asterisk Server

hatte ich übersehen .... Sorry

 

[toto77]

Alloguest=no funktioniert bei mir aber leider immer noch nicht

Habe täglich über 100 Versuche anzurufen von Fremden

 

[koyaanisqatsi]

Moin

Kann ja auch nicht.
Der Parameter ist sowas von falschgeschrieben.
/etc/asterisk/sip.conf

[general]
context=public
allowguest=no

Asterisk zu Stoppen und Neuzustarten ist danach anzuraten.

 

[toto77]

Hallo, Danke für die schnelle Reaktion habe es gleich geändert ... bin ich blö ....

Gruß
Tommy

- - - Aktualisiert - - -

Geht immer noch nicht ...

habe amportal reload auch ausgefürt ....

2016.11.19 17.05.49		1479571549,12	4603			Antworten	s [from-trunk]	ANTWORTETE	00.00
2016.11.19 17.01.41		1479571301,11	4403			Antworten	s [from-trunk]	ANTWORTETE	00.00

 

[koyaanisqatsi]

Dann schau mal nach in der Astrriskkonsole (asterisk -rdvvvvv) ...

sip show peers

...ob der Angreifer registriert ist (fremde IP).
Denn: Registrierte Peers dürfen noch ihren Kontext benutzen

 

[toto77]

Hallo, da steht ..

060 - OPTIONS (No RTP)
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3870 ast_sip_ouraddrfor: Target address 87.144.124.83:5061 is not local, substituting externaddr
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:8768 change_callid_pvt: SIP call-id changed from '764c4c9e6e1f059162db666424cb93bb@[2a02:8109:b0c0:2ba4:a00:27ff:fe24:c9bf]:5060' to '[email protected]:5060'
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3389 initialize_initreq: Initializing initreq for method OPTIONS - callid [email protected]:5060
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:4527 __sip_ack: Stopping retransmission on '[email protected]:5060' of Request 102: Match Found
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:8983 __sip_alloc: Allocating new SIP dialog for 436b64d572e1341801f5aeff4624ecb5@[2a02:8109:b0c0:2ba4:a00:27ff:fe24:c9bf]:5060 - OPTIONS (No RTP)
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3870 ast_sip_ouraddrfor: Target address 217.10.79.9:5060 is not local, substituting externaddr
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:8768 change_callid_pvt: SIP call-id changed from '436b64d572e1341801f5aeff4624ecb5@[2a02:8109:b0c0:2ba4:a00:27ff:fe24:c9bf]:5060' to '[email protected]:5060'
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3389 initialize_initreq: Initializing initreq for method OPTIONS - callid [email protected]:5060
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:4527 __sip_ack: Stopping retransmission on '[email protected]:5060' of Request 102: Match Found
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:8983 __sip_alloc: Allocating new SIP dialog for 5025f1403652f87d5aee002017df54ff@[2a02:8109:b0c0:2ba4:a00:27ff:fe24:c9bf]:5060 - OPTIONS (No RTP)
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3870 ast_sip_ouraddrfor: Target address 217.10.79.9:5060 is not local, substituting externaddr
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:8768 change_callid_pvt: SIP call-id changed from '5025f1403652f87d5aee002017df54ff@[2a02:8109:b0c0:2ba4:a00:27ff:fe24:c9bf]:5060' to '[email protected]:5060'
[2016-11-20 10:59:11] DEBUG[2594]: chan_sip.c:3389 initialize_initreq: Initializing initreq for method OPTIONS - callid [email protected]:5060
[2016-11-20 10:59:12] DEBUG[2594]: chan_sip.c:4527 __sip_ack: Stopping retransmission on '[email protected]:5060' of Request 102: Match Found
[2016-11-20 10:59:15] DEBUG[2596]: manager.c:6313 process_message: Running action 'Ping'

das ist aber die Fritzbox von mir... also mein router ... (91.64.147.180)

Gruß
Thomas

 

[PeterPawn]

@toto77:
1. Für derartige "Listen" gibt es ein "CODE"-Tag. Dann kann man das auch lesen - das geht bei einem Font ohne Proportionalschrift los und endet bei vernünftiger Behandlung von Zeilenenden. Daß Du weißt, wie es richtig geht, sieht man in #1.

2. Du solltest das Debug-Level nur so weit "aufdrehen", daß Du selbst noch etwas mit der Anzeige anzufangen weißt. Wenn jemand sich Deines Problems annehmen will und ausführlichere Ausgaben braucht, wird er es Dir in der Regel sagen. Hier hat zwar @koy eine Mitschuld, aber auch so eine "Empfehlung" eines Kommandos kann ja das eigene Denken (und Nachschlagen) nicht ersetzen. Ansonsten hätte ich noch einen Tipp, wie man das Lesen seiner E-Mails massiv beschleunigen kann.

3. Die Aufforderung war eigentlich, die Ausgabe von "sip show peers" hier zu veröffentlichen, nicht die Debug-Nachrichten, die aufgrund ziemlich unnützer Optionen ansonsten noch durch die Konsole fliegen. Da kannst Du zwar nur zum Teil dafür, aber man schaut sich i.d.R. auch die Kommandos noch einmal an, die einem "anempfohlen" werden.

4. Tust Du mir einen (persönlichen) Gefallen und änderst den Titel auf die "üblichen" Schreibweisen ab? Ich bekomme jedesmal erneut einen Schreck, wenn dieser Thread bei "Neue Beiträge" in der Liste auftaucht. Hast Du mal versucht, nach "Häcker" oder "scännen" zu suchen? Wenn ja, hast Du irgendwelche Belege gefunden, daß diese Schreibweisen auch nur annähernd richtig sein könnten?

5. Die Ratschläge aus https://tty1.net/smart-questions_de.html#writewell kann man ruhig beherzigen ... wer ohnehin unsicher beim Schreiben ist, verwendet eben eine Rechtschreibprüfung. Vertippen ist sicherlich erlaubt, aber 4 Fehler auf 15 Worte tuhen dann schon fast weh beim Lesen. Wenn das "auf die Augen" geht, wirst Du vermutlich auch weniger Leute dazu bewegen können, sich in Dein Problem zu vertiefen.

6. Es fehlt jede Beschreibung, wer da mit welcher IP-Adresse was senden darf und wer da alles beteiligt ist. Wie soll man ohne diese Angaben (meinetwegen kann man die auch verfremden, aber es muß unterscheidbar bleiben) denn einschätzen können, was da "normaler" Traffic ist und wo es sich um einen Angriffsversuch handeln könnte? Wie sieht die Konfiguration für den (erlaubten) Client in Gestalt der FRITZ!Box aus? Wenn man sich das ansieht, ist es wohl ein Internet-Anschluß bei Kabel Deutschland, an dem diese FRITZ!Box hängt. Wo steht denn nun der Server? Irgendwo im Internet bei Server4You - sollte man meinen. Bliebe die Frage, wie Asterisk/FreePBX eingestellt ist - offensichtlich ist zwar IPv6 konfiguriert (es sieht jedenfalls so aus, als käme die OPTIONS-Message über IPv6 an), aber auch IPv4 muß ja irgendwie konfiguriert sein, wenn da Angriffe von IPv4-Adressen möglich sind. Zumindest hat sich ja wohl definitiv seit #1 Deine Konfiguration geändert ... dann gehört die auch in den Thread und zwar zu jeder neuen Frage auch die gerade aktuelle Konfiguration, damit sich kein "Leser" erst die Mühe machen muß, sich durch die Historie Deiner Einstellungen Schritt für Schritt zur aktuellen vorzukämpfen. Das kannst Du weglassen, wenn die Änderungen in einem Satz zu beschreiben sind - das dürfte hier eher nicht der Fall sein und außerdem fehlen die ganzen Angaben ohnehin von Beginn an. Wenn Du keinen nicht-authentifizierten Zugriff mehr zuläßt und auch noch einen passenden "default"-Kontext für Angreifer hast, dann zeige uns diese aktuellen Einstellungen. Gibt es dann immer noch Angriffe, zeige uns die Nachrichten in der Asterisk-Console, aus denen Du diese Schlußfolgerung ableitest. Was soll eine "Auskunft" wie "geht immer noch nicht" in #6 überhaupt bedeuten? Was soll die Tabelle darunter darstellen? Daß es sich um eine Anzeige irgendwelcher CDRs handeln soll, kann man zwar raten, aber warum zeigst Du nicht einfach die dazu gehörenden Einträge im Asterisk-Protokoll? Was soll man daraus jetzt ableiten? Irgendwie gab es wohl ein "Answer" (wenn man das mal hinter dem "Antworten" vermuten will) und das fand wohl im Kontext "from-trunk" statt ... damit kann kein Mensch wirklich etwas anfangen. Weder weiß man, auf welchem Weg so ein Call überhaupt in diesen Kontext gelangen kann, noch wo da im Dialplan dann mal ein "Answer" vorgesehen ist. Was funktioniert denn eigentlich nun genau nicht (denn "gehen" wird es vermutlich nie)? Die ständigen fehlschlagenden Registrierungsversuche aus dem zweiten Kasten in #1 sollten ja schon mal weg sein, wenn da kein "Durchfallen" auf den Kontext mehr erfolgt, der für die FRITZ!Box reserviert sein sollte. Also müssen die verbleibenden "Anrufe" ja irgendwo anders "abgefertigt" werden, das steht aber in Deinen Einstellungen und solange Du uns die nicht zeigen willst, wird man Dir auch nicht beim (Nach-)Denken helfen können, welchen Weg diese "Anrufe" nun durch das Asterisk hinter FreePBX nehmen mögen. Wenn da tatsächlich jemand in einen Kontext im Dialplan gelangen sollte, dann reichen auch ein bis zwei "-v" zur "Verfolgung" aus, wobei man das dann auch in der Konsole mit "core set verbose n" besser geregelt bekommt. Findet dann ein "Call" statt, sollte man spätestens bei Level 3 schon sehen können, welche Schritte im Dialplan abgearbeitet werden und wenn man den dann kennt, findet man auch bei der Rückwärtssuche heraus, wo der "Einstieg" in den Dialplan stattgefunden hat. Bisher ist das jedenfalls nichts Halbes und nichts Ganzes, was da zu sehen ist - gegenüber #1 mit irgendwelchen alten Protokollen sollte sich die Situation grundlegend geändert haben ... schon die "Frequenz" ist viel niedriger, wenn anstelle von x Zugriffen pro Sekunde wie in #1 in den CDRs nun nur noch zwei mit einer Pause von 4 Minuten dazwischen (in #6) zu sehen sind. Da ist dann ein "geht immer noch nicht" ziemlicher Unsinn, denn es hat sich ja etwas Entscheidendes verändert und das solltest auch Du sehen können.

@koy:
Welchen tieferen Sinn macht es denn, beim Asterisk das "verbosity"-Level um fünf Stufen herauszusetzen und dann auch noch "debug" einzuschalten (-dvvvvv), wenn Du doch eigentlich nur mit "sip show peers" nachsehen lassen willst, ob der Peer vielleicht registriert ist oder nicht? Seit wann ist denn diese Anzeige davon abhängig, wie geschwätzig Asterisk gerade ist oder daß gar "Debug-Ausgaben" angezeigt werden? Dann muß man sich auch nicht wundern, wenn der Angesprochene die wirklich wichtigen Daten gar nicht sehen kann. Das, was von dem Kommando noch übrig bleibt, ist dann der Aufruf von "asterisk -r" und selbst den könnte man (wenn hier jemand offensichtlich nicht so sehr mit Asterisk vertraut ist) vereinfachen zu:

asterisk -rx "sip show peers"

Dann kommen da auch nicht irgendwelche sinnfreien Debug-Anzeigen dazwischen und die Notwendigkeit, den "Ausgang" nach dem ausgeführten Kommando zu finden, entfällt auch noch.

 

[koyaanisqatsi]

Ja, Blödsinn, hast Recht...

"Welchen tieferen Sinn macht es denn, beim Asterisk das "verbosity"-Level um fünf Stufen herauszusetzen und dann auch noch "debug" einzuschalten (-dvvvvv)"

...aber, der tiefere Sinn könnte in der "Matrixartigen" Art liegen, mit der die Ausgaben über den Bildschirm huschen.
...irgendwann siehste keinen "Code" mehr und es wird dreidimensional.