Список форумов Asterisk Forum Asterisk Forum
The Asterisk Open Source PBX - Russian Community
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ПравилаПравила   ГруппыГруппы   ИзбранноеИзбранное    LinksСсылки   РегистрацияРегистрация 
 RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщения   ВходВход 

Кто это ко мне ломится? (Sending fake auth rejection)
На страницу 1, 2, 3  След.
 
Список форумов Asterisk Forum -> Asterisk IP PBX    вывод темы на печать
Предыдущая тема :: Следующая тема  
Автор Сообщение
denklu



Зарегистрирован:
10.08.2011
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 08:31    Заголовок сообщения: Кто это ко мне ломится? (Sending fake auth rejection)

каждую ночь в логах по 50 строк:
NOTICE[3098] chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@xxx.xxx.xxx.xxx>;tag=231158cf
порылся у себя ничего подобного 5550000 не нашел.
fial2ban не срабатывает, т.к. не видно IP
Что это может быть и как избавиться?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pavel shlag



Зарегистрирован:
21.06.2011
Сообщения: 141

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 09:58    Заголовок сообщения: Re: Кто это ко мне ломится? (Sending fake auth rejection)

denklu писал(а):

<sip:5550000@xxx.xxx.xxx.xxx>

вместо х какой адрес?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
denklu



Зарегистрирован:
10.08.2011
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 10:56    Заголовок сообщения:

вместо xxx.xxx.xxx.xxx
внешний прямой IP моего астериска
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
koqep



Зарегистрирован:
26.01.2010
Сообщения: 221
Откуда: Челябинская обл.

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 14:34    Заголовок сообщения:

чтоб срабатывал fail2ban надо добавить правило для обработки этой строки
_________________
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name Jabber ID Телефон
denklu



Зарегистрирован:
10.08.2011
Сообщения: 23

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 14:45    Заголовок сообщения:

правило создать не проблема, проблема идентифицировать того, кого нужно забанить. xxx.xxx.xxx.xxx это IP самого астериска. и банить самого себя как-то не логично
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Joshoa



Зарегистрирован:
25.02.2010
Сообщения: 8

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 16:25    Заголовок сообщения: chan_sip.c

В файле chan_sip.c в районе строки №23937 и №21298 ты найдешь функции, которые и генерят это сообщение. Чуть выше есть похожая, но с выдачей IP. Просто сделай copy-paste, и будет тебе счастье. Ну и в fail2ban новое правило пропиши, основанное на этом сообщении. Как-то так.
J


Последний раз редактировалось: Joshoa (Чт Дек 08, 2011 16:50)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Чт Дек 08, 2011 16:40    Заголовок сообщения:

хорошо бы отправить в багрепорт чтоб добавили в транк... будет полезным IP в логе видеть однозначно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Вт Июл 03, 2012 09:39    Заголовок сообщения:

в chan_sip.c 1.6.2.24 - ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));

В 2-х местах Smile .
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
siti



Зарегистрирован:
09.08.2009
Сообщения: 48

Статус: Оффлайн 

СообщениеДобавлено: Пн Янв 28, 2013 16:12    Заголовок сообщения:

Цитата:
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));


не работает в asterisk 11
как исправить чтобы показывало IP адрес хакера а не АТС?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
bako



Зарегистрирован:
30.09.2010
Сообщения: 21
Откуда: Kharkov

Статус: Оффлайн 

СообщениеДобавлено: Вт Янв 29, 2013 08:56    Заголовок сообщения:

Гуглить? http://www.fail2ban.org/wiki/index.php/Asterisk
_________________
Corporate Telephone Systems. VoIP. http://ai.kh.ua
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
awsswa



Зарегистрирован:
28.04.2012
Сообщения: 1642
Откуда: Russia, Пермь

Статус: Оффлайн 

СообщениеДобавлено: Вт Янв 29, 2013 09:00    Заголовок сообщения:

Если бы fail2ban помог, но он не поможет, нету адреса атакующего, некого банить.

а в 11 не работает - во всех местах правили ? там вроде уже в 4 надо
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
awsswa



Зарегистрирован:
28.04.2012
Сообщения: 1642
Откуда: Russia, Пермь

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 06:45    Заголовок сообщения:

Mikhail M. Pakhomov

строки в файле channel/chan_sip.c 22510, 23181, 25015 --> ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

ну, и пересобрать. после чего в консоли астера и в логах можно будет увидеть запись:

NOTICE[2540] chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@213.128.31.100>;tag=a7d0f8ec [IP: 50.57.80.91:5080]
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
Bansher



Зарегистрирован:
26.12.2011
Сообщения: 27

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 09:18    Заголовок сообщения: Есть ли решения для AsteriskNOW

Всем доброго. Имею проблему Sending fake auth rejection for device. Уяснил что по умолчанию chan_sip.so не логирует IP злоумышленника и необходимо собрать данный модуль с поддержкой такой функции. Проблема в том что у меня AsterikNOW версия Астериск 1.6.2.20. Я скачал исходники именно этой версии и собрал модуль заменив необходимые строки на
Код:
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_sockaddr_stringify(addr));
Но при замене дефолтного модуля этим, начисто пропадают все SIP пиры.
Вопрос: возможно ли в AsteriskNOW заменить дефотный модуль другим, собранным вручную?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mikhail Pakhomov



Зарегистрирован:
30.01.2013
Сообщения: 5

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 11:20    Заголовок сообщения:

to Bansher:

Код:
22510, 23181, 25015 --> ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_sockaddr_stringify(addr));


Этот код для 1.8.20.1. На 6-у код выше.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
Bansher



Зарегистрирован:
26.12.2011
Сообщения: 27

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 13:26    Заголовок сообщения:

Прошу прощения, скопировал не ту строчку. Собирал конечно с кодом для 1.6. С другим просто не собирается. Так есть у кого мнение по сути вопроса?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mikhail Pakhomov



Зарегистрирован:
30.01.2013
Сообщения: 5

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 15:45    Заголовок сообщения:

Файл: channel/chan-sip.c
Код:
20708 ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From"));
22023 ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From"));

Переписать в вид:
Код:
20708 ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));
22023 ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));

Сразу скажу, что не проверял ибо эта версия у меня не стоит. Из svn вытащил только интересующий файл. Версия 1.6.2. Пробуйте.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
Bansher



Зарегистрирован:
26.12.2011
Сообщения: 27

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 16:29    Заголовок сообщения:

Да, я именно так и делал. Затем собрал модуль chan_sip.so и подсунул его работающему asterisk-у. Сделал /etc/init.d/asterisk restart. Asterisk поднялся, но без sip пиров. Михаил, то есть вы хотите сказать, что вообще это должно работать. Я правильно понял?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mikhail Pakhomov



Зарегистрирован:
30.01.2013
Сообщения: 5

Статус: Оффлайн 

СообщениеДобавлено: Ср Янв 30, 2013 16:39    Заголовок сообщения:

Сто процентов. А пробовали ручками модуль подгружать? В логах что пишет? Если модуль собрался, эта переделка никоим образом не влияет на его работоспособность, ведь там просто вывод данных. Хотя... В общем, нужно больше инфы.

У меня 1.8. Код под него, который кинул выше испытал лично. Работает. 1.6 под рукой не имею.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
Bansher



Зарегистрирован:
26.12.2011
Сообщения: 27

Статус: Оффлайн 

СообщениеДобавлено: Чт Янв 31, 2013 08:26    Заголовок сообщения:

Михаил, спасибо за ответ. Подгружать модуль не пробовал. Просто положил его и рестартанул астер. На выходных буду мучить asterisk полностью. О результатах отпишусь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mikhail Pakhomov



Зарегистрирован:
30.01.2013
Сообщения: 5

Статус: Оффлайн 

СообщениеДобавлено: Чт Янв 31, 2013 08:56    Заголовок сообщения:

Сделайте вот так:
Код:
cd source_asterisk_dir
vim channel/chan-sip.c - тут меняем код
make
sudo /etc/init.d/asterisk stop
sudo make install
sudo /etc/init.d/asterisk start
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Чт Янв 31, 2013 20:56    Заголовок сообщения:

кстати, из совсем свежего, upnp root exploit: http://www.defensecode.com/public/Defens ... visory.pdf
и вообще в целом http://www.defensecode.com/article/upcom ... exploit-33
(70 миллионов проданых девайсов по миру, шутка ли)
так что не только астериск может быть причиной угона ваших эккаунтов.
список девайсов с дырой потенциально огромен
Цитата:
Broadcom, Asus, Cisco, TP-Link, Zyxel, D-Link, Netgear, US Robotics,
and so on.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Пт Фев 01, 2013 23:41    Заголовок сообщения:

я все это к тому что если вам на ротуер поставят снифер (это не сложно если есть рут) то смогут выдергивать ваши пароли прямо на лету из проходящего трафика. хуже сценария не придумать наверное.
поэтому, сперва проапдейтить всем прошивки (убедитесь что апдейт для вашего девайса уже есть) а затем включите везде шифрование по максимуму где только можно. все астерсиковские звонки пускайте только с шифрованием (даже локально), провайдеров просите о том же. это минимизирует потенциальные потери.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Bansher



Зарегистрирован:
26.12.2011
Сообщения: 27

Статус: Оффлайн 

СообщениеДобавлено: Сб Фев 02, 2013 02:55    Заголовок сообщения:

 Mikhail Pakhomov @ Ср Янв 30, 2013 18:39 писал(а):
Сто процентов. А пробовали ручками модуль подгружать? В логах что пишет? Если модуль собрался, эта переделка никоим образом не влияет на его работоспособность, ведь там просто вывод данных. Хотя... В общем, нужно больше инфы.

У меня 1.8. Код под него, который кинул выше испытал лично. Работает. 1.6 под рукой не имею.


Все мои мучения пропали даром.
В общем изначально модуль был собран на ОС с не той разрядностью. 32 вместо 64. Ладно думаю. Поставил Ubuntu x64 12.04. Собрал. Поставил. "Фи" - сказал астериск. "Для поддержки данного модуля нужен что-то там 7 версии". Я не сдаюсь. Ставлю AstersikNOW той же версии, что и на продакшене. Собираю там модуль. Сую!
[2013-02-02 05:48:41] WARNING[6981]: loader.c:726 inspect_module: Module 'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.
[2013-02-02 05:48:41] WARNING[6981]: loader.c:727 inspect_module: Module 'chan_sip.so' will not be initialized as it may cause instability.
[2013-02-02 05:48:41] WARNING[6981]: loader.c:810 load_resource: Module 'chan_sip.so' could not be loaded.

В общем скомпилить рабочий модуль для AsterskNOW наверное можно, если угадать все параметры с которыми она устанавливалась. Как это сделать, не представляю.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mikhail Pakhomov



Зарегистрирован:
30.01.2013
Сообщения: 5

Статус: Оффлайн 

СообщениеДобавлено: Сб Фев 02, 2013 06:51    Заголовок сообщения:

Цитата:
Bansher @ Сб Фев 02, 2013 09:55"]Все мои мучения пропали даром...

Вижу, что вы не собрали таки модуль. Расскажите, где правили, как собирали, что в консольке было? А еще лучше, чтобы не офтопить - стукнитесь мне в скайп.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name
buhta



Зарегистрирован:
25.02.2010
Сообщения: 17
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Сб Фев 02, 2013 09:38    Заголовок сообщения:

Прошу помощи...
астер .1.8.9.2 на gentoo, fail2ban 0.8.4

сделал все по инструкции... айп появился, chan_sip.so подбросил итп.
добавил в fail2ban строку

NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)

эффект не дало в cli сыпется

[Feb 2 12:22:34] == Using UDPTL CoS mark 5
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]

заранее спасибо!!!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name
Список форумов Asterisk Forum -> Asterisk IP PBX На страницу 1, 2, 3  След. Ответить на тему
Страница 1 из 3

Добавить в Избранное

 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
You cannot attach files in this forum
You cannot download files in this forum