Кто это ко мне ломится? (Sending fake auth rejection)

Основной форум.
Для опытных

Модераторы: Admins, Модераторы

Аватара пользователя
koqep
Сообщения: 221
Зарегистрирован: 26 янв 2010, 09:04
Откуда: Челябинская обл.
Контактная информация:

Сообщение koqep » 17 сен 2013, 10:28

Я, думаю что он про другое спросил. Вопрос на подобии, не могу же я заблокировать адрес 127.0.0.1, что делать?
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk

Аватара пользователя
andrey1969
Сообщения: 124
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 26 дек 2014, 21:15

Астер 11.6 и фсе приблуды работают )))) ...

bg1
Сообщения: 238
Зарегистрирован: 11 ноя 2010, 21:11

Сообщение bg1 » 12 янв 2015, 19:46

патчик для chan_sip есть
Свежак chan_dongle тут https://github.com/bg111/asterisk-chan-dongle/
Смена IMEI Huawei E1550 E173 E1752 K3765 http://www.e1550.mobi/ от $0,3042 за IMEI

nikseanix
Сообщения: 1
Зарегистрирован: 17 янв 2015, 13:00

Сообщение nikseanix » 17 янв 2015, 13:03

Огромное спасибо ребята за данные советы. Хотелось бы уточнить, что при редактировании файла chan_sip.c нужно в НЕСКОЛЬКИХ местах искать и заменять нужную строку.
Мне лично помогла статья http://it-mehanika.ru/index.php?option= ... &Itemid=29
Только там я въехал про это. По указанным на 1 странице этого топика инструкциям не получалось, т.к. я заменял только первое найденное вхождение. А нужно было еще 2-3.
Всем спасибо! Теперь мой сервер Астериск чувствует себя лучше :)

Asterisk 1.8.10.1

mr.bublik
Сообщения: 1
Зарегистрирован: 18 янв 2015, 23:39
Откуда: Москва

Сообщение mr.bublik » 19 янв 2015, 01:15

О! Неужели моя статейка еще помогает? Я думал эту дыру залепили )))). Удачи в борьбе с сусликами-партизанами.
Вот как можно ставить астериск из репозитария (убунта, дебиан). Я надеялся закроют дыру. Сурсы наше все ? :(

leks_smile
Сообщения: 8
Зарегистрирован: 26 янв 2015, 03:35

Сообщение leks_smile » 26 янв 2015, 04:26

А что с этими делать?

[spoiler][2015-01-26 11:13:28] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242008-604812",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:1001@my.asterisk.ip.address",SessionID="0x2b1534001938",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/195.154.169.107/5070",Challenge="6ebc464a"
[2015-01-26 11:14:07] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242047-670288",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:993@my.asterisk.ip.address",SessionID="0x2b153408ba88",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.3.8.28/5074",Challenge="0ad54d96"
[2015-01-26 11:14:14] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242054-193602",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:100@my.asterisk.ip.address",SessionID="0x2b1534161698",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/63.141.236.146/5074",Challenge="64d50d05"
[2015-01-26 11:14:41] SECURITY[2929] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1422242081-251389",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:100@my.asterisk.ip.address",SessionID="0x2b1534001938",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/63.141.229.58/5078",Challenge="4aaa1de9"[/spoiler]

fail2ban тут бессилен, т.к. SecurityEvent="ChallengeSent",Severity="Informational" выдается и моим "валидным" клиентам, успешно прошедшим авторизацию:

[2015-01-22 10:24:59] SECURITY[12633] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1421893499-691789",Severity="Informational",Service="SIP",EventVersion="1",AccountID="302",SessionID="0x7092588",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/5062",Challenge="0d8352b3"

остается только вручную их заносить в iptables?

xelas
admin
Сообщения: 1143
Зарегистрирован: 05 мар 2007, 11:21

Сообщение xelas » 26 янв 2015, 06:11

Ну как, что делать... Может быть...

jail.conf:

Код: Выделить всё

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1 

leks_smile
Сообщения: 8
Зарегистрирован: 26 янв 2015, 03:35

Сообщение leks_smile » 26 янв 2015, 07:19

не выйдет. многие сотрудники пользуются sip-аккаунтами с мобильников через левые точки доступа или 3G посреди улицы.
если только их всех заставить vpn-подключение предварительно поднимать. :? да и то по-моему не выход, мой андроид например не умеет в автоматическое переподключение впн, а низкий уровень сигнала сотовой сети может провоцировать разрыв соединения.


а о чем вообще говорят эти строки в логе? что за такой способ авторизации, который и не InvalidPassword и не InvalidAccountID.

xelas
admin
Сообщения: 1143
Зарегистрирован: 05 мар 2007, 11:21

Сообщение xelas » 26 янв 2015, 07:50

Ну это ж обычный digest auth.
Приблизительно так(подробнее в гугле по digest auth).
Клиент стучится на сервер. Сервер посылает ему challenge response в поле nonce.
Клиент генерирует md5 хеш с использованием этого nonce,логина, пароля, домена и посылает серверу обратно.
Если все хорошо -- аутентификация проходит. Если нет, то будет InvalidPassword.

То есть данное конкретное сообщение означает, что сервером для клиента сгенерен nonce и сервер ждет дальнейших шагов по аутентификации.
Так что надо смотреть не на это сообщение, а на следующее. :)

Код: Выделить всё

            ^%&#40;log_prefix&#41;s SecurityEvent="&#40;FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword&#41;",EventTV="&#91;\d-&#93;+",Severity="&#91;\w&#93;+",Service="&#91;\w&#93;+",EventVersion="\d+",AccountID="\d+",SessionID="0x&#91;\da-f&#93;+",LocalAddress="IPV&#91;46&#93;/&#40;UD|TC&#41;P/&#91;\da-fA-F&#58;.&#93;+/\d+",RemoteAddress="IPV&#91;46&#93;/&#40;UD|TC&#41;P/<HOST>/\d+"&#40;,Challenge="\w+",ReceivedChallenge="\w+"&#41;?&#40;,ReceivedHash="&#91;\da-f&#93;+"&#41;?$
В примере выше, fail2ban обрабатывает только евенты FailedACL,InvalidAccountID,ChallengeResponseFailed,InvalidPassword.

leks_smile
Сообщения: 8
Зарегистрирован: 26 янв 2015, 03:35

Сообщение leks_smile » 26 янв 2015, 08:23

спасибо, почитаю

[url=http://asteriskforum.ru/viewtopic.php?p=79060#79060][img]http://asteriskforum.ru/images/quotebackarrow.gif[/img][/url] xelas @ Пн Янв 26, 2015 14:50 писал(а): То есть данное конкретное сообщение означает, что сервером для клиента сгенерен nonce и сервер ждет дальнейших шагов по аутентификации.
Так что надо смотреть не на это сообщение, а на следующее. :)
так а нет следующего, только такие


т.е. вот успешная авторизация:

Код: Выделить всё

&#91;2015-01-23 15&#58;58&#58;38&#93; SECURITY&#91;5244&#93; res_security_log.c&#58; SecurityEvent="ChallengeSent",EventTV="1421999918-878311",Severity="Informational",Service="SIP",EventVersion="1",AccountID="305",SessionID="0x1b15b668",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/15564",Challenge="37a92369"
&#91;2015-01-23 15&#58;58&#58;38&#93; SECURITY&#91;5244&#93; res_security_log.c&#58; SecurityEvent="SuccessfulAuth",EventTV="1421999918-918079",Severity="Informational",Service="SIP",EventVersion="1",AccountID="305",SessionID="0x1b15b668",LocalAddress="IPV4/UDP/my.asterisk.ip.address/5060",RemoteAddress="IPV4/UDP/192.168.54.45/15564",UsingPassword="1"
как вы и сказали - получаем challenge response и потом авторизуемся

а в моем случае просто сплошные ChallengeSent, безо всяких последующих SuccessfulAuth или InvalidPassword, etc.

xelas
admin
Сообщения: 1143
Зарегистрирован: 05 мар 2007, 11:21

Сообщение xelas » 26 янв 2015, 08:30

а в моем случае просто сплошные ChallengeSent, безо всяких последующих SuccessfulAuth или InvalidPassword, etc.
Ну правильно. Кто-то ломанулся на ваш сервер. Сервер ему сказал: дорогой, вот те Challenge, давай авторизуйся.
Этот кто-то получил этот ответ и решил: данутянайух. И не ответил за запрос авторизации.

Что вам не нравится то?

leks_smile
Сообщения: 8
Зарегистрирован: 26 янв 2015, 03:35

Сообщение leks_smile » 26 янв 2015, 08:44

вот тут темку создавал: http://asteriskforum.ru/viewtopic.php?p=79062

[spoiler]
[url=http://asteriskforum.ru/viewtopic.php?p=79053#79053][img]http://asteriskforum.ru/images/quotebackarrow.gif[/img][/url] leks_smile @ Пн Янв 26, 2015 10:42 писал(а):elastix 2.5, asterisk 11

в лог постоянно сыпятся ошибки
CLI>
[2015-01-26 10:39:08] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 7ebf9beafed748c14c2c9bcaa6724d1e on non-critical invite transaction.
[2015-01-26 10:39:30] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on f25c5181c089a2c6510a76017f7705d2 on non-critical invite transaction.
[2015-01-26 10:39:34] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on c8a06a12ed29e54a9540f250a4f4862e on non-critical invite transaction.
[2015-01-26 10:39:37] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 08c078d821c4fd397882bf7fc7974a72 on non-critical invite transaction.
[2015-01-26 10:39:46] WARNING[3023]: chan_sip.c:4077 retrans_pkt: Timeout on 8b1a1447ac2458710da1fb51af6f64ee on non-critical invite transaction.

все вроде работает без нареканий, но в чем может быть причина этих варнингов? как то можно исправить?
[/spoiler]
вручную перебанил все айпишники, о которых речь шла выше, и ошибка прекратила появляться.
т.е. получается, атакующий получает инвайт, не отвечает на него, и он завершается по таймауту? отсюда и варнинги в full.

а в чем тогда смысл? если не ведется перебор пароля, а просто рандомно тыкается в различные sip-аккаунты.
с учетом того, что alwaysauthreject=yes, вообще не понимаю, какой резон.

разве что как в этой статье: https://xakep.ru/2011/07/12/56194/
Изначально клиент отправляет на Softswitch (например, Asterisk) запрос “REGISTER”, в котором нет пароля, а есть только contact. В ответ приходит сообщение “401 Unauthorized”, в котором указано, что нужно пройти “Digest access authentication”. В присланном сообщении сгенерированы nonce и realm. Используя nonce и realm (полученные от сервера), пароль и username (прописанные на шлюзе), а также digesturi, шлюз генерит md5-хэш — response — и отправляет все это обратно на Softswitch, который проверяет присланные данные. Если они верные, то возвращает 200 ОК, если нет — снова 401. Получается, если достать дамп регистрации, то у тебя окажутся все данные, кроме пароля, а его можно будет подобрать.
но ведь дамп регистрации атакующий никак не получит, если не будет доступа к ssh? т.е. опасаться нечего?

xelas
admin
Сообщения: 1143
Зарегистрирован: 05 мар 2007, 11:21

Сообщение xelas » 26 янв 2015, 09:01

Смысл в том, что атакующий пытается пробится "на шару". Он вряд ли шлет REGISTER. Он скорее всего, сразу шлет INVITE, рассчитывая, что попадет в пир с insecure=port,invite. Но обламывается, получая 401.
Получается, если достать дамп регистрации, то у тебя окажутся все данные, кроме пароля, а его можно будет подобрать.
Нет, это не верно. nonce генерируется рандомно и каждый раз он разный. А данные необходимые для регистрации есть и так: nonce и digestURI сервер отдаст сразу, при 401-ом.

Added after 5 minutes:

Точнее так, имея на руках response от клиента, который принял Астериск, и зная какой nonce и digestURI был при challenge, можно не теребя астериск подобрать пароль.
Получить дамп можно либо имея доступ к машине с астериском, либо находясь где-то по-середине между клиентом и астериском(например, на роутере прова клиента). Но это уже из области паранои. Ну и никто не мешает вам использовать SSL/TLS.

Аватара пользователя
andrey1969
Сообщения: 124
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 23 мар 2015, 10:13

Офигеть на старье пашут )) ...

whoim
Сообщения: 57
Зарегистрирован: 29 май 2014, 10:33
Контактная информация:

Сообщение whoim » 24 мар 2015, 10:17

В "подчинении" несколько десятков серверов, организовал для них "круговую поруку". Головной сервер постоянно лезет в логи всех подчиненных, парсит и выцепляет что можно, формирует базу данных.
Потом второй проход - на каждом сервере блочит через iptables эти адреса.
Блочит каждый адрес на 10 суток.

Если кому интересно вступить в такую систему, и, возможно - дорабатывать ее, буду рад. В личку.

virus_net
Сообщения: 442
Зарегистрирован: 05 окт 2014, 06:10
Откуда: Москва
Контактная информация:

Сообщение virus_net » 25 мар 2015, 05:43

Мы примерно так же подошли к вопросу, т.е. сбор данных со многих источников, так родился: http://frod.subnets.ru/
Собственно так же приглашаю тех кто хочет поучаствовать и поделиться своими данными.

Аватара пользователя
andrey1969
Сообщения: 124
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 16 апр 2015, 17:56

Не получается понять Fail2ban - fedora покрутил настройки logrotate - пришлось оставить путь /var/log/fail2ban.log - Через неделю создаётся новый файл fail2ban.log с размером 0 и больше не пишет лог , после перезапуска fail2ban пишет инфу в фаил , даже без перезапуска прога нормально адекватно пашет и банит , просто не пишет логи в файл fail2ban.log ХЕЛП ))) . Мож есть у кого рабочий конф ? ..

awsswa
Сообщения: 1723
Зарегистрирован: 28 апр 2012, 10:19
Откуда: Russia, Пермь

Сообщение awsswa » 18 апр 2015, 11:31

скорей всего вы с logrotate создаете новый файл не с теми правами - или пользователь не тот или прав на запись нету
удалите файл и перезапустите fail2ban - посмотрите на log файл - кем он создан и с какими правами
платный суппорт по мере возможностей

Аватара пользователя
andrey1969
Сообщения: 124
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 19 дек 2016, 21:47

Собирал в очередной раз астер 11.7 , подсунул в chan_sip.o плюшек для определения IP бармалеев , (напихал от жадности в 5 мест ) появилось такое : Unknown SIP command 'INVITErnrn' from '192.69.91.229:5061'
Ну я сразу правилом в fail2ban NOTICE.* .*: Unknown SIP command 'INVITErnrn' from \'<HOST>:*\' и нету бармалея ))) ..

Ответить