Кто это ко мне ломится? (Sending fake auth rejection)

Основной форум.
Для опытных

Модераторы: Admins, Модераторы

Аватара пользователя
anest
Модератор
Сообщения: 5633
Зарегистрирован: 28 ноя 2004, 10:04

Сообщение anest » 02 фев 2013, 23:50

[url=http://asteriskforum.ru/viewtopic.php?p=68365#68365][img]http://asteriskforum.ru/images/quotebackarrow.gif[/img][/url] buhta @ Сб Фев 02, 2013 00:38 писал(а): NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]
у вас маска с ошибками, в маске ищется "NOTICE.*" хотя в лог валится NOTICE без точки после слова. ну и тд по тексту.. надеюсь намек понят?

Аватара пользователя
andrey1969
Сообщения: 123
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 03 фев 2013, 15:16

Для версии 1.6.2.24
Я сделал так
SIP - ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s 'IP:%s'\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));
Fail2ban - NOTICE.*пробел .*:пробел Sending fake auth rejection for device пробел .* пробел 'IP:<HOST>'

Этот вариант лучше для fail2ban .
Последний раз редактировалось andrey1969 05 фев 2013, 16:46, всего редактировалось 1 раз.

Аватара пользователя
noize
Сообщения: 913
Зарегистрирован: 29 ноя 2006, 12:51
Откуда: Москва

Сообщение noize » 04 фев 2013, 07:43

Сделал патч для chan_sip.c, работает на версии 1.8.11.1

Для fail2ban нужно подправить файл /etc/fail2ban/filter.d/asterisk.conf - смотри аттач
У вас нет необходимых прав для просмотра вложений в этом сообщении.

_Pavel_
Сообщения: 180
Зарегистрирован: 05 мар 2008, 02:18

Сообщение _Pavel_ » 06 мар 2013, 00:57

Asterisk 11.2.1

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", sip_get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;;

Mixa87
Сообщения: 81
Зарегистрирован: 24 июл 2012, 15:23
Откуда: Харьков Украина

Сообщение Mixa87 » 18 мар 2013, 17:09

fail2ban или ещё можно в extensions.conf exten => _5550000,n,Hangup()

avolon
Сообщения: 53
Зарегистрирован: 15 мар 2011, 05:52
Откуда: Россия

Сообщение avolon » 29 мар 2013, 12:08

Asterisk 11 в файле chan_sip.c нету строк ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n
как быть то ??

_Pavel_
Сообщения: 180
Зарегистрирован: 05 мар 2008, 02:18

Сообщение _Pavel_ » 01 апр 2013, 07:53

2 avolon
Для версии Asterisk 11.2.1
в строках 18338,24411,25081,27124,27344 заменить

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s\n", sip_get_header&#40;req, "From"&#41;&#41;;
на

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", sip_get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;;

Уже в 3-х местах стоит и работает.

avolon
Сообщения: 53
Зарегистрирован: 15 мар 2011, 05:52
Откуда: Россия

Сообщение avolon » 02 апр 2013, 13:33

Ок спасибо
А не поделитесь строчкой в fail2ban ???

avolon
Сообщения: 53
Зарегистрирован: 15 мар 2011, 05:52
Откуда: Россия

Сообщение avolon » 06 апр 2013, 13:54

Привет
собираю asterisk 1,8,14 и после правки файла chan_sip.c

Код: Выделить всё

  ast_log&#40;LOG_NOTICE, "Sending fake auth rejection for device %s &#91;IP&#58; %s&#93;\n", sip_get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;;
И при make выдает вот это

[spoiler]

[CC] chan_sip.c -> chan_sip.o
chan_sip.c: In function ‘handle_request_options’:
chan_sip.c:22029: предупреждение: implicit declaration of function ‘sip_get_header’
chan_sip.c:22029: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_invite’:
chan_sip.c:22695: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_publish’:
chan_sip.c:24518: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_subscribe’:
chan_sip.c:24743: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’


[/spoiler]
В чем проблема то ((

P.S разобрался сам

просто в место sip_get_header(req, "From"), надо было get_header(req, "From"),

Added after 3 hours 11 minutes:

Mikhail Pakhomov
С подменой chan_sip.so не получается (((
пишет

Код: Выделить всё

&#91;Apr  6 16&#58;28&#58;25&#93; WARNING&#91;4077&#93; loader.c&#58; Module 'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.
&#91;Apr  6 16&#58;28&#58;25&#93; WARNING&#91;4077&#93; loader.c&#58; Module 'chan_sip.so' will not be initialized as it may cause instability.
&#91;Apr  6 16&#58;28&#58;25&#93; WARNING&#91;4077&#93; loader.c&#58; Module 'chan_sip.so' could not be loaded.

Стоит Elastix 2.4

Код: Выделить всё

rasterisk -x "core show version"
Asterisk 1.8.21.0 built by palosanto @ rpmbuild64-2.elastix.palosanto.com on a x86_64 running Linux on 2013-03-28 21&#58;39&#58;26 UTC
Скачал исходники 1,8,21 все сделал дал команду make он собрал файл chan_sip.so я его заменил по пути /usr/lib64/asterisk/modules сделал рестарт .Модуль не под грузился ((
Может я что то не так делаю ???

xelas
admin
Сообщения: 1083
Зарегистрирован: 05 мар 2007, 11:21

Сообщение xelas » 06 апр 2013, 15:27

Конечно не так, вам же пишет черным по английскому:

'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.

Вам надо либо полностью ставить астериск из исходников, или искакать как собрать модуль правильно под те исходники и опции с которым был собран ваш Еластикс.

avolon
Сообщения: 53
Зарегистрирован: 15 мар 2011, 05:52
Откуда: Россия

Сообщение avolon » 06 апр 2013, 15:47

Ясно.Жаль придется всетаки через iptables делать ((((

mbr
Сообщения: 3
Зарегистрирован: 02 дек 2009, 14:55

Сообщение mbr » 12 апр 2013, 16:33

Вам надо либо полностью ставить астериск из исходников, или искакать как собрать модуль правильно под те исходники и опции с которым был собран ваш Еластикс.
Можно попробовать сделать так
http://sibsvt.blogspot.ru/2011/08/asterisk.html
....0S..т?...............
................$..@#..........P$......
....аr...t...к..........rТ..P_..
t_......441be56ff244b15c736f14
8886f9ef28.<..јa..................
™@.................................
.....0”......................Ґ@...
вот эти 441be56ff244b15 и т.д. меняем
я еще предварительно прогнал полученный модуль через strip --strip-all, для сокращения размера
на freepbx завелось

тут оказывается, что в свежих исходниках 10 и 11, некоторые изменения произошли. из кода остался только синий кусок
if (res == AUTH_FAKE_AUTH) {
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", sip_get_header(req, "From"));
transmit_fake_auth_response(p, SIP_MESSAGE, req, XMIT_UNRELIABLE);
} else {
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
transmit_response(p, "403 Forbidden", req);

}

Аватара пользователя
andrey1969
Сообщения: 123
Зарегистрирован: 18 янв 2010, 12:01
Откуда: 3/9 царство

Сообщение andrey1969 » 13 апр 2013, 19:02

В 11.4.0-rc1 - "Failed to authenticate device %s\n" в 4 х местах , но четвёртое не понятно .

Аватара пользователя
noize
Сообщения: 913
Зарегистрирован: 29 ноя 2006, 12:51
Откуда: Москва

Сообщение noize » 25 апр 2013, 13:17

приложенный выше выше патч не работает с версией 1.8.21.0(текущий asterisk-1.8-current), т.к. в chan_sip.c внесли значительные изменения, касающиеся сообщений в лог-файл.
Последняя версия, с которой патч был протестирован - это 1.8.20.1

Cybermind
Сообщения: 21
Зарегистрирован: 06 ноя 2011, 17:38

Сообщение Cybermind » 25 апр 2013, 19:04

Пожалуй в 1.8.21.0 уже тоже, что в 11.4+

_Pavel_
Сообщения: 180
Зарегистрирован: 05 мар 2008, 02:18

Сообщение _Pavel_ » 01 май 2013, 06:15

Версия 11.3.0

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header&#40;req, "From"&#41;&#41;;

Код: Выделить всё

ast_log&#40;LOG_NOTICE, "Failed to authenticate device %s &#91;IP&#58; %s&#93;\n", sip_get_header&#40;req, "From"&#41;, ast_sockaddr_stringify&#40;addr&#41;&#41;;

Cybermind
Сообщения: 21
Зарегистрирован: 06 ноя 2011, 17:38

Сообщение Cybermind » 03 июн 2013, 17:25

Обновил свой пост тут.

Ralcom
Сообщения: 57
Зарегистрирован: 05 июл 2012, 10:17
Откуда: Москва

Сообщение Ralcom » 07 авг 2013, 07:06

Добрый день, Уважаемые.
Мне так же надоело смотреть как "добрые" люди пытаются взломать мой сервер.
Пытался пере собрать chan_sip.so , но как скомпилировать файл chan_sip.c так и не разобрался.
В суточных моих поисках решения проблемы, нашел в интернете вот эту статью: http://www.coochey.net/?p=61
Вечером все сделал и получил результат. На одну ночь 6 адресов забанено! так вам гады!
Вот что я видел у себя:
[2013-08-07 01:51:31] NOTICE[22782][C-0000003b] chan_sip.c: Failed to authenticate device 16<sip:16@xxx.xxx.xxx.xxx>;tag=10844d6f
[2013-08-07 01:51:32] NOTICE[22782][C-0000003c] chan_sip.c: Failed to authenticate device 16<sip:16@xxx.xxx.xxx.xxx>;tag=d056df40
[2013-08-07 02:14:27] NOTICE[22782][C-0000003d] chan_sip.c: Failed to authenticate device 250<sip:250@xxx.xxx.xxx.xxx>;tag=0ced6a0d
[2013-08-07 02:14:27] NOTICE[22782][C-0000003e] chan_sip.c: Failed to authenticate device 250<sip:250@xxx.xxx.xxx.xxx>;tag=23fcaa19
[2013-08-07 02:32:50] NOTICE[22782][C-0000003f] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=79c46dab
[2013-08-07 02:32:52] NOTICE[22782][C-00000040] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=3b6fb17a
[2013-08-07 02:32:54] NOTICE[22782][C-00000041] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=ef8586a5
[2013-08-07 02:36:09] NOTICE[22782][C-00000043] chan_sip.c: Failed to authenticate device 315<sip:315@xxx.xxx.xxx.xxx>;tag=a81995e3
[2013-08-07 02:36:10] NOTICE[22782][C-00000044] chan_sip.c: Failed to authenticate device 315<sip:315@xxx.xxx.xxx.xxx>;tag=385ab539
[2013-08-07 02:55:35] NOTICE[22782][C-00000045] chan_sip.c: Failed to authenticate device 209<sip:209@xxx.xxx.xxx.xxx>;tag=6057b1ec
Где - xxx.xxx.xxx.xxx это мой внешний IP
У меня уже стоит программа - fail2ban (есть много описаний как её ставить), но она без ip слоумышленика не может его забанить. А ip как раз и не показывает...
В файле: /etc/asterisk/logger_logfiles_custom.conf
добавить строку:
fail2ban2 => security,notice,warning,error
Далее в файл: /etc/fail2ban/jail.conf
добавим еще одно правило:
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=alerts@example.com, sender=pbx@example.com] - вместо почты alerts@example.com , пишем свой почтовый ящик
logpath = /var/log/asterisk/fail2ban2

В файл: /etc/fail2/ban/filter.d/asterisk.conf
под строку со списком правил -
failregex =
дописываем еще одно -
SECURITY.* SecurityEvent=\"InvalidPassword\".*RemoteAddress=\"IPV4/UDP/<HOST>/
перегружаемся:
/etc/init.d/asterisk restart
/etc/init.d/iptables restart
/etc/init.d/fail2ban restart

И сразу видим в нашем файле (/var/log/asterisk/fail2ban2) того, кто пытается взломать и позвонить
у меня это сегодня выглядит так:
[2013-08-07 04:05:50] NOTICE[22782][C-00000053] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой_внешний_IP>;tag=ccaac5f7
[2013-08-07 04:05:50] SECURITY[22764] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="1375833950-625229",Severity="Error",Service="SIP",EventVersion="2",AccountID="9810972597562753",SessionID="0x18b0268",LocalAddress="IPV4/UDP/мой_внешний_IP/5060",RemoteAddress="IPV4/UDP/82.205.5.154/5074",Challenge="70127e36",ReceivedChallenge="70127e36",ReceivedHash="b71129d331fc00f5a0050f45a49d898a"

Вижу следующее:
Что - IP адрес: 82.205.5.154, Страна: Palestinian Territory, Город: Ramallah
некий "не хороший человек" пытался подключиться к моему номеру № 8888 и позвонить на номер: 9810972597562753 (а это Израиль)
ФигВам !!!

и приходит письмо на почту:
Hi,
The IP 82.205.5.154 has just been banned by Fail2Ban after
3 attempts against SIP.
Here are more information about 82.205.5.154:
Regards,
Fail2Ban

Не претендую на оригинальность, но и так можно.

avolon
Сообщения: 53
Зарегистрирован: 15 мар 2011, 05:52
Откуда: Россия

Сообщение avolon » 15 авг 2013, 06:49

сделал все как написано ,но нет в логах * нечего (((
Asterisk 1.8.21.0

Ralcom
Сообщения: 57
Зарегистрирован: 05 июл 2012, 10:17
Откуда: Москва

Сообщение Ralcom » 15 авг 2013, 10:33

по этому адресу: /var/log/asterisk/fail2ban2
нет ничего?

Аватара пользователя
koqep
Сообщения: 221
Зарегистрирован: 26 янв 2010, 09:04
Откуда: Челябинская обл.
Контактная информация:

Сообщение koqep » 15 авг 2013, 12:56

Еще вот такое правило можно добавить

Код: Выделить всё

SECURITY.* SecurityEvent=\"FailedACL\".*RemoteAddress=\"IPV4/UDP/<HOST>/
В консоли астериска наш любимый Failed to authenticate device* но у меня совпало с существующим пиром и поэтому уже не InvalidPassword, в FailedACL

Код: Выделить всё

&#91;2013-08-15 17&#58;48&#58;03.534&#93; NOTICE&#91;32196&#93; chan_sip.c&#58; Failed to authenticate device 1008<sip&#58;1008@92.222.28.40>;tag=6692ac70

&#91;2013-08-15 17&#58;48&#58;03.536&#93; SECURITY&#91;32178&#93; res_security_log.c&#58; SecurityEvent="FailedACL",EventTV="1376567283-536597",Severity="Error",Service="SIP",EventVersion="1",AccountID="810972597562753",SessionID="0x97d22b0",LocalAddress="IPV4/UDP/92.222.28.40/5060",
RemoteAddress="IPV4/UDP/192.99.0.69/5071",ACLName="device_must_match_acl"
P.S.
Спасибо за наводку, всегда знал что это можно сделать штатными средствами без всяких патчей, но я думал и смотрел в сторону AMI
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk

Аватара пользователя
koqep
Сообщения: 221
Зарегистрирован: 26 янв 2010, 09:04
Откуда: Челябинская обл.
Контактная информация:

Сообщение koqep » 19 авг 2013, 05:55

[url=http://asteriskforum.ru/viewtopic.php?p=74574#74574][img]http://asteriskforum.ru/images/quotebackarrow.gif[/img][/url] avolon @ Чт Авг 15, 2013 11:49 писал(а):сделал все как написано ,но нет в логах * нечего (((
Asterisk 1.8.21.0
В 1.8 logger не поддерживает уровень security, видимо придется патчить или переходить на другую версию
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk

Аватара пользователя
alex286
Сообщения: 71
Зарегистрирован: 14 июн 2009, 07:41
Откуда: Москва

Сообщение alex286 » 17 сен 2013, 04:34

А у меня, версия 11.4.0, почему-то в качестве адреса. вот это... "RemoteAddress="IPV4/TCP/127.0.0.1/6082"... Что делать?

Аватара пользователя
koqep
Сообщения: 221
Зарегистрирован: 26 янв 2010, 09:04
Откуда: Челябинская обл.
Контактная информация:

Сообщение koqep » 17 сен 2013, 04:58

Всю строку можешь показать?
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk

Аватара пользователя
Wapo
Сообщения: 1389
Зарегистрирован: 08 май 2009, 09:47
Откуда: СПб.
Контактная информация:

Сообщение Wapo » 17 сен 2013, 09:15

У меня версия 11.4 из исходников. Уровень security не работал КОРРЕКТНО пока ..... комп полность железно не перегрузился (вырубали электричество). После этого все ок.
P4 3.0 + 1Gb CentOS 5.8 Aster 11.25.1
Не люблю gui-сборки: натуральный продукт вкуснее.
И еще: я ПРОФИ так как НЕ ЛЕНЮСЬ читать литературу.

Ответить