Кто это ко мне ломится? (Sending fake auth rejection)

Основной форум.
Для опытных

Модераторы: Admins, Модераторы

denklu
Сообщения: 23
Зарегистрирован: 10 авг 2011, 11:11

Кто это ко мне ломится? (Sending fake auth rejection)

Сообщение denklu » 08 дек 2011, 08:31

каждую ночь в логах по 50 строк:
NOTICE[3098] chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@xxx.xxx.xxx.xxx>;tag=231158cf
порылся у себя ничего подобного 5550000 не нашел.
fial2ban не срабатывает, т.к. не видно IP
Что это может быть и как избавиться?

pavel shlag
Сообщения: 141
Зарегистрирован: 21 июн 2011, 08:00

Re: Кто это ко мне ломится? (Sending fake auth rejection)

Сообщение pavel shlag » 08 дек 2011, 09:58

denklu писал(а): <sip:5550000@xxx.xxx.xxx.xxx>
вместо х какой адрес?

denklu
Сообщения: 23
Зарегистрирован: 10 авг 2011, 11:11

Сообщение denklu » 08 дек 2011, 10:56

вместо xxx.xxx.xxx.xxx
внешний прямой IP моего астериска

Аватара пользователя
koqep
Сообщения: 221
Зарегистрирован: 26 янв 2010, 09:04
Откуда: Челябинская обл.
Контактная информация:

Сообщение koqep » 08 дек 2011, 14:34

чтоб срабатывал fail2ban надо добавить правило для обработки этой строки
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk

denklu
Сообщения: 23
Зарегистрирован: 10 авг 2011, 11:11

Сообщение denklu » 08 дек 2011, 14:45

правило создать не проблема, проблема идентифицировать того, кого нужно забанить. xxx.xxx.xxx.xxx это IP самого астериска. и банить самого себя как-то не логично

Joshoa
Сообщения: 8
Зарегистрирован: 25 фев 2010, 09:16

chan_sip.c

Сообщение Joshoa » 08 дек 2011, 16:25

В файле chan_sip.c в районе строки №23937 и №21298 ты найдешь функции, которые и генерят это сообщение. Чуть выше есть похожая, но с выдачей IP. Просто сделай copy-paste, и будет тебе счастье. Ну и в fail2ban новое правило пропиши, основанное на этом сообщении. Как-то так.
J
Последний раз редактировалось Joshoa 08 дек 2011, 16:50, всего редактировалось 1 раз.

Аватара пользователя
anest
Модератор
Сообщения: 5700
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 08 дек 2011, 16:40

хорошо бы отправить в багрепорт чтоб добавили в транк... будет полезным IP в логе видеть однозначно.

Аватара пользователя
andrey1969
Сообщения: 124
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 03 июл 2012, 09:39

в chan_sip.c 1.6.2.24 - ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));

В 2-х местах :) .

siti
Сообщения: 48
Зарегистрирован: 09 авг 2009, 12:28

Сообщение siti » 28 янв 2013, 16:12

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));
не работает в asterisk 11
как исправить чтобы показывало IP адрес хакера а не АТС?

bako
Сообщения: 21
Зарегистрирован: 30 сен 2010, 14:49
Откуда: Kharkov
Контактная информация:

Сообщение bako » 29 янв 2013, 08:56

Corporate Telephone Systems. VoIP. http://ai.kh.ua

awsswa
Сообщения: 1721
Зарегистрирован: 28 апр 2012, 10:19
Откуда: Russia, Пермь

Сообщение awsswa » 29 янв 2013, 09:00

Если бы fail2ban помог, но он не поможет, нету адреса атакующего, некого банить.

а в 11 не работает - во всех местах правили ? там вроде уже в 4 надо

awsswa
Сообщения: 1721
Зарегистрирован: 28 апр 2012, 10:19
Откуда: Russia, Пермь

Сообщение awsswa » 30 янв 2013, 06:45

Mikhail M. Pakhomov

строки в файле channel/chan_sip.c 22510, 23181, 25015 --> ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

ну, и пересобрать. после чего в консоли астера и в логах можно будет увидеть запись:

NOTICE[2540] chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@213.128.31.100>;tag=a7d0f8ec [IP: 50.57.80.91:5080]

Bansher
Сообщения: 27
Зарегистрирован: 26 дек 2011, 10:04

Есть ли решения для AsteriskNOW

Сообщение Bansher » 30 янв 2013, 09:18

Всем доброго. Имею проблему Sending fake auth rejection for device. Уяснил что по умолчанию chan_sip.so не логирует IP злоумышленника и необходимо собрать данный модуль с поддержкой такой функции. Проблема в том что у меня AsterikNOW версия Астериск 1.6.2.20. Я скачал исходники именно этой версии и собрал модуль заменив необходимые строки на

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;;
Но при замене дефолтного модуля этим, начисто пропадают все SIP пиры.
Вопрос: возможно ли в AsteriskNOW заменить дефотный модуль другим, собранным вручную?

Mikhail Pakhomov
Сообщения: 5
Зарегистрирован: 30 янв 2013, 11:15

Сообщение Mikhail Pakhomov » 30 янв 2013, 11:20

to Bansher:

Код: Выделить всё

22510, 23181, 25015 --> ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;; 
Этот код для 1.8.20.1. На 6-у код выше.

Bansher
Сообщения: 27
Зарегистрирован: 26 дек 2011, 10:04

Сообщение Bansher » 30 янв 2013, 13:26

Прошу прощения, скопировал не ту строчку. Собирал конечно с кодом для 1.6. С другим просто не собирается. Так есть у кого мнение по сути вопроса?

Mikhail Pakhomov
Сообщения: 5
Зарегистрирован: 30 янв 2013, 11:15

Сообщение Mikhail Pakhomov » 30 янв 2013, 15:45

Файл: channel/chan-sip.c

Код: Выделить всё

20708 ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header&#40;req, "From"&#41;&#41;;
22023 ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header&#40;req, "From"&#41;&#41;;
Переписать в вид:

Код: Выделить всё

20708 ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", get_header&#40;req, "From"&#41;, ast_inet_ntoa&#40;sin->sin_addr&#41;&#41;;
22023 ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", get_header&#40;req, "From"&#41;, ast_inet_ntoa&#40;sin->sin_addr&#41;&#41;;
Сразу скажу, что не проверял ибо эта версия у меня не стоит. Из svn вытащил только интересующий файл. Версия 1.6.2. Пробуйте.

Bansher
Сообщения: 27
Зарегистрирован: 26 дек 2011, 10:04

Сообщение Bansher » 30 янв 2013, 16:29

Да, я именно так и делал. Затем собрал модуль chan_sip.so и подсунул его работающему asterisk-у. Сделал /etc/init.d/asterisk restart. Asterisk поднялся, но без sip пиров. Михаил, то есть вы хотите сказать, что вообще это должно работать. Я правильно понял?

Mikhail Pakhomov
Сообщения: 5
Зарегистрирован: 30 янв 2013, 11:15

Сообщение Mikhail Pakhomov » 30 янв 2013, 16:39

Сто процентов. А пробовали ручками модуль подгружать? В логах что пишет? Если модуль собрался, эта переделка никоим образом не влияет на его работоспособность, ведь там просто вывод данных. Хотя... В общем, нужно больше инфы.

У меня 1.8. Код под него, который кинул выше испытал лично. Работает. 1.6 под рукой не имею.

Bansher
Сообщения: 27
Зарегистрирован: 26 дек 2011, 10:04

Сообщение Bansher » 31 янв 2013, 08:26

Михаил, спасибо за ответ. Подгружать модуль не пробовал. Просто положил его и рестартанул астер. На выходных буду мучить asterisk полностью. О результатах отпишусь.

Mikhail Pakhomov
Сообщения: 5
Зарегистрирован: 30 янв 2013, 11:15

Сообщение Mikhail Pakhomov » 31 янв 2013, 08:56

Сделайте вот так:

Код: Выделить всё

cd source_asterisk_dir
vim channel/chan-sip.c - тут меняем код
make
sudo /etc/init.d/asterisk stop
sudo make install
sudo /etc/init.d/asterisk start

Аватара пользователя
anest
Модератор
Сообщения: 5700
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 31 янв 2013, 20:56

кстати, из совсем свежего, upnp root exploit: http://www.defensecode.com/public/Defen ... visory.pdf
и вообще в целом http://www.defensecode.com/article/upco ... exploit-33
(70 миллионов проданых девайсов по миру, шутка ли)
так что не только астериск может быть причиной угона ваших эккаунтов.
список девайсов с дырой потенциально огромен
Broadcom, Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear, US Robotics,
and so on.

Аватара пользователя
anest
Модератор
Сообщения: 5700
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 01 фев 2013, 23:41

я все это к тому что если вам на ротуер поставят снифер (это не сложно если есть рут) то смогут выдергивать ваши пароли прямо на лету из проходящего трафика. хуже сценария не придумать наверное.
поэтому, сперва проапдейтить всем прошивки (убедитесь что апдейт для вашего девайса уже есть) а затем включите везде шифрование по максимуму где только можно. все астерсиковские звонки пускайте только с шифрованием (даже локально), провайдеров просите о том же. это минимизирует потенциальные потери.

Bansher
Сообщения: 27
Зарегистрирован: 26 дек 2011, 10:04

Сообщение Bansher » 02 фев 2013, 02:55

[url=http://asteriskforum.ru/viewtopic.php?p=68273#68273][img]http://asteriskforum.ru/images/quotebackarrow.gif[/img][/url] Mikhail Pakhomov @ Ср Янв 30, 2013 18:39 писал(а):Сто процентов. А пробовали ручками модуль подгружать? В логах что пишет? Если модуль собрался, эта переделка никоим образом не влияет на его работоспособность, ведь там просто вывод данных. Хотя... В общем, нужно больше инфы.

У меня 1.8. Код под него, который кинул выше испытал лично. Работает. 1.6 под рукой не имею.
Все мои мучения пропали даром.
В общем изначально модуль был собран на ОС с не той разрядностью. 32 вместо 64. Ладно думаю. Поставил Ubuntu x64 12.04. Собрал. Поставил. "Фи" - сказал астериск. "Для поддержки данного модуля нужен что-то там 7 версии". Я не сдаюсь. Ставлю AstersikNOW той же версии, что и на продакшене. Собираю там модуль. Сую!
[2013-02-02 05:48:41] WARNING[6981]: loader.c:726 inspect_module: Module 'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.
[2013-02-02 05:48:41] WARNING[6981]: loader.c:727 inspect_module: Module 'chan_sip.so' will not be initialized as it may cause instability.
[2013-02-02 05:48:41] WARNING[6981]: loader.c:810 load_resource: Module 'chan_sip.so' could not be loaded.

В общем скомпилить рабочий модуль для AsterskNOW наверное можно, если угадать все параметры с которыми она устанавливалась. Как это сделать, не представляю.

Mikhail Pakhomov
Сообщения: 5
Зарегистрирован: 30 янв 2013, 11:15

Сообщение Mikhail Pakhomov » 02 фев 2013, 06:51

Bansher @ Сб Фев 02, 2013 09:55"]Все мои мучения пропали даром...
Вижу, что вы не собрали таки модуль. Расскажите, где правили, как собирали, что в консольке было? А еще лучше, чтобы не офтопить - стукнитесь мне в скайп.

buhta
Сообщения: 23
Зарегистрирован: 25 фев 2010, 15:16
Откуда: Москва
Контактная информация:

Сообщение buhta » 02 фев 2013, 09:38

Прошу помощи...
астер .1.8.9.2 на gentoo, fail2ban 0.8.4

сделал все по инструкции... айп появился, chan_sip.so подбросил итп.
добавил в fail2ban строку

NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)

эффект не дало в cli сыпется

[Feb 2 12:22:34] == Using UDPTL CoS mark 5
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]

заранее спасибо!!!

Ответить