Список форумов Asterisk Forum Asterisk Forum
The Asterisk Open Source PBX - Russian Community
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ПравилаПравила   ГруппыГруппы   ИзбранноеИзбранное    LinksСсылки   РегистрацияРегистрация 
 RSSRSS   ПрофильПрофиль   Войти и проверить личные сообщения   ВходВход 

Кто это ко мне ломится? (Sending fake auth rejection)
На страницу Пред.  1, 2, 3  След.
 
Список форумов Asterisk Forum -> Asterisk IP PBX    вывод темы на печать
Предыдущая тема :: Следующая тема  
Автор Сообщение
anest
Модератор


Зарегистрирован:
28.11.2004
Сообщения: 5636

Статус: Оффлайн 

СообщениеДобавлено: Сб Фев 02, 2013 23:50    Заголовок сообщения:

 buhta @ Сб Фев 02, 2013 00:38 писал(а):

NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)
[Feb 2 12:22:34] NOTICE[18588]: chan_sip.c:22346 handle_request_invite: Sending fake auth rejection for device 8343<sip:8343@мойip>;tag=b810c2ad [IP: XX.XXX.XXX.XXX:5074]

у вас маска с ошибками, в маске ищется "NOTICE.*" хотя в лог валится NOTICE без точки после слова. ну и тд по тексту.. надеюсь намек понят?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Вс Фев 03, 2013 15:16    Заголовок сообщения:

Для версии 1.6.2.24
Я сделал так
SIP - ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s 'IP:%s'\n", get_header(req, "From"), ast_inet_ntoa(sin->sin_addr));
Fail2ban - NOTICE.*пробел .*:пробел Sending fake auth rejection for device пробел .* пробел 'IP:<HOST>'

Этот вариант лучше для fail2ban .


Последний раз редактировалось: andrey1969 (Вт Фев 05, 2013 16:46)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
noize



Зарегистрирован:
29.11.2006
Сообщения: 913
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Пн Фев 04, 2013 07:43    Заголовок сообщения:

Сделал патч для chan_sip.c, работает на версии 1.8.11.1

Для fail2ban нужно подправить файл /etc/fail2ban/filter.d/asterisk.conf - смотри аттач
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name Jabber ID
_Pavel_



Зарегистрирован:
05.03.2008
Сообщения: 175

Статус: Оффлайн 

СообщениеДобавлено: Ср Мар 06, 2013 00:57    Заголовок сообщения:

Asterisk 11.2.1

Код:
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Mixa87



Зарегистрирован:
24.07.2012
Сообщения: 81
Откуда: Харьков Украина

Статус: Оффлайн 

СообщениеДобавлено: Пн Мар 18, 2013 17:09    Заголовок сообщения:

fail2ban или ещё можно в extensions.conf exten => _5550000,n,Hangup()
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avolon



Зарегистрирован:
15.03.2011
Сообщения: 53
Откуда: Россия

Статус: Оффлайн 

СообщениеДобавлено: Пт Мар 29, 2013 12:08    Заголовок сообщения:

Asterisk 11 в файле chan_sip.c нету строк ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n
как быть то ??
Вернуться к началу
Посмотреть профиль Отправить личное сообщение AIM Address
_Pavel_



Зарегистрирован:
05.03.2008
Сообщения: 175

Статус: Оффлайн 

СообщениеДобавлено: Пн Апр 01, 2013 07:53    Заголовок сообщения:

2 avolon
Для версии Asterisk 11.2.1
в строках 18338,24411,25081,27124,27344 заменить
Код:
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", sip_get_header(req, "From"));

на
Код:
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));



Уже в 3-х местах стоит и работает.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avolon



Зарегистрирован:
15.03.2011
Сообщения: 53
Откуда: Россия

Статус: Оффлайн 

СообщениеДобавлено: Вт Апр 02, 2013 13:33    Заголовок сообщения:

Ок спасибо
А не поделитесь строчкой в fail2ban ???
Вернуться к началу
Посмотреть профиль Отправить личное сообщение AIM Address
avolon



Зарегистрирован:
15.03.2011
Сообщения: 53
Откуда: Россия

Статус: Оффлайн 

СообщениеДобавлено: Сб Апр 06, 2013 13:54    Заголовок сообщения:

Привет
собираю asterisk 1,8,14 и после правки файла chan_sip.c
Код:
  ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));

И при make выдает вот это



[CC] chan_sip.c -> chan_sip.o
chan_sip.c: In function ‘handle_request_options’:
chan_sip.c:22029: предупреждение: implicit declaration of function ‘sip_get_header’
chan_sip.c:22029: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_invite’:
chan_sip.c:22695: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_publish’:
chan_sip.c:24518: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’
chan_sip.c: In function ‘handle_request_subscribe’:
chan_sip.c:24743: предупреждение: format ‘%s’ expects type ‘char *’, but argument 6 has type ‘int’



В чем проблема то ((

P.S разобрался сам

просто в место sip_get_header(req, "From"), надо было get_header(req, "From"),

Added after 3 hours 11 minutes:

Mikhail Pakhomov
С подменой chan_sip.so не получается (((
пишет
Код:

[Apr  6 16:28:25] WARNING[4077] loader.c: Module 'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.
[Apr  6 16:28:25] WARNING[4077] loader.c: Module 'chan_sip.so' will not be initialized as it may cause instability.
[Apr  6 16:28:25] WARNING[4077] loader.c: Module 'chan_sip.so' could not be loaded.


Стоит Elastix 2.4
Код:
rasterisk -x "core show version"
Asterisk 1.8.21.0 built by palosanto @ rpmbuild64-2.elastix.palosanto.com on a x86_64 running Linux on 2013-03-28 21:39:26 UTC


Скачал исходники 1,8,21 все сделал дал команду make он собрал файл chan_sip.so я его заменил по пути /usr/lib64/asterisk/modules сделал рестарт .Модуль не под грузился ((
Может я что то не так делаю ???
Вернуться к началу
Посмотреть профиль Отправить личное сообщение AIM Address
xelas
admin


Зарегистрирован:
05.03.2007
Сообщения: 1027

Статус: Онлайн 

СообщениеДобавлено: Сб Апр 06, 2013 15:27    Заголовок сообщения:

Конечно не так, вам же пишет черным по английскому:

'chan_sip.so' was not compiled with the same compile-time options as this version of Asterisk.

Вам надо либо полностью ставить астериск из исходников, или искакать как собрать модуль правильно под те исходники и опции с которым был собран ваш Еластикс.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avolon



Зарегистрирован:
15.03.2011
Сообщения: 53
Откуда: Россия

Статус: Оффлайн 

СообщениеДобавлено: Сб Апр 06, 2013 15:47    Заголовок сообщения:

Ясно.Жаль придется всетаки через iptables делать ((((
Вернуться к началу
Посмотреть профиль Отправить личное сообщение AIM Address
mbr



Зарегистрирован:
02.12.2009
Сообщения: 3

Статус: Оффлайн 

СообщениеДобавлено: Пт Апр 12, 2013 16:33    Заголовок сообщения:

Цитата:
Вам надо либо полностью ставить астериск из исходников, или искакать как собрать модуль правильно под те исходники и опции с которым был собран ваш Еластикс.

Можно попробовать сделать так
http://sibsvt.blogspot.ru/2011/08/asterisk.html
Цитата:
....0S..т?...............
................$..@#..........P$......
....аr...t...к..........rТ..P_..
t_......441be56ff244b15c736f14
8886f9ef28.<..јa..................
™@.................................
.....0”......................Ґ@...

вот эти 441be56ff244b15 и т.д. меняем
я еще предварительно прогнал полученный модуль через strip --strip-all, для сокращения размера
на freepbx завелось

тут оказывается, что в свежих исходниках 10 и 11, некоторые изменения произошли. из кода остался только синий кусок
Цитата:
if (res == AUTH_FAKE_AUTH) {
ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", sip_get_header(req, "From"));
transmit_fake_auth_response(p, SIP_MESSAGE, req, XMIT_UNRELIABLE);
} else {
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
transmit_response(p, "403 Forbidden", req);

}
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
andrey1969



Зарегистрирован:
18.01.2010
Сообщения: 109
Откуда: 3/9 царство

Статус: Оффлайн 

СообщениеДобавлено: Сб Апр 13, 2013 19:02    Заголовок сообщения:

В 11.4.0-rc1 - "Failed to authenticate device %s\n" в 4 х местах , но четвёртое не понятно .
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
noize



Зарегистрирован:
29.11.2006
Сообщения: 913
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Чт Апр 25, 2013 13:17    Заголовок сообщения:

приложенный выше выше патч не работает с версией 1.8.21.0(текущий asterisk-1.8-current), т.к. в chan_sip.c внесли значительные изменения, касающиеся сообщений в лог-файл.
Последняя версия, с которой патч был протестирован - это 1.8.20.1
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Skype Name Jabber ID
Cybermind



Зарегистрирован:
06.11.2011
Сообщения: 21

Статус: Оффлайн 

СообщениеДобавлено: Чт Апр 25, 2013 19:04    Заголовок сообщения:

Пожалуй в 1.8.21.0 уже тоже, что в 11.4+
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
_Pavel_



Зарегистрирован:
05.03.2008
Сообщения: 175

Статус: Оффлайн 

СообщениеДобавлено: Ср Май 01, 2013 06:15    Заголовок сообщения:

Версия 11.3.0

Код:
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));

Код:
ast_log(LOG_NOTICE, "Failed to authenticate device %s [IP: %s]\n", sip_get_header(req, "From"), ast_sockaddr_stringify(addr));
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Cybermind



Зарегистрирован:
06.11.2011
Сообщения: 21

Статус: Оффлайн 

СообщениеДобавлено: Пн Июн 03, 2013 17:25    Заголовок сообщения:

Обновил свой пост тут.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Ralcom



Зарегистрирован:
05.07.2012
Сообщения: 57
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Ср Авг 07, 2013 07:06    Заголовок сообщения:

Добрый день, Уважаемые.
Мне так же надоело смотреть как "добрые" люди пытаются взломать мой сервер.
Пытался пере собрать chan_sip.so , но как скомпилировать файл chan_sip.c так и не разобрался.
В суточных моих поисках решения проблемы, нашел в интернете вот эту статью: http://www.coochey.net/?p=61
Вечером все сделал и получил результат. На одну ночь 6 адресов забанено! так вам гады!
Вот что я видел у себя:
[2013-08-07 01:51:31] NOTICE[22782][C-0000003b] chan_sip.c: Failed to authenticate device 16<sip:16@xxx.xxx.xxx.xxx>;tag=10844d6f
[2013-08-07 01:51:32] NOTICE[22782][C-0000003c] chan_sip.c: Failed to authenticate device 16<sip:16@xxx.xxx.xxx.xxx>;tag=d056df40
[2013-08-07 02:14:27] NOTICE[22782][C-0000003d] chan_sip.c: Failed to authenticate device 250<sip:250@xxx.xxx.xxx.xxx>;tag=0ced6a0d
[2013-08-07 02:14:27] NOTICE[22782][C-0000003e] chan_sip.c: Failed to authenticate device 250<sip:250@xxx.xxx.xxx.xxx>;tag=23fcaa19
[2013-08-07 02:32:50] NOTICE[22782][C-0000003f] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=79c46dab
[2013-08-07 02:32:52] NOTICE[22782][C-00000040] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=3b6fb17a
[2013-08-07 02:32:54] NOTICE[22782][C-00000041] chan_sip.c: Failed to authenticate device 6001<sip:6001@xxx.xxx.xxx.xxx>;tag=ef8586a5
[2013-08-07 02:36:09] NOTICE[22782][C-00000043] chan_sip.c: Failed to authenticate device 315<sip:315@xxx.xxx.xxx.xxx>;tag=a81995e3
[2013-08-07 02:36:10] NOTICE[22782][C-00000044] chan_sip.c: Failed to authenticate device 315<sip:315@xxx.xxx.xxx.xxx>;tag=385ab539
[2013-08-07 02:55:35] NOTICE[22782][C-00000045] chan_sip.c: Failed to authenticate device 209<sip:209@xxx.xxx.xxx.xxx>;tag=6057b1ec
Где - xxx.xxx.xxx.xxx это мой внешний IP
У меня уже стоит программа - fail2ban (есть много описаний как её ставить), но она без ip слоумышленика не может его забанить. А ip как раз и не показывает...
В файле: /etc/asterisk/logger_logfiles_custom.conf
добавить строку:
fail2ban2 => security,notice,warning,error
Далее в файл: /etc/fail2ban/jail.conf
добавим еще одно правило:
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=SIP, protocol=all]
sendmail-whois[name=SIP, dest=alerts@example.com, sender=pbx@example.com] - вместо почты alerts@example.com , пишем свой почтовый ящик
logpath = /var/log/asterisk/fail2ban2

В файл: /etc/fail2/ban/filter.d/asterisk.conf
под строку со списком правил -
failregex =
дописываем еще одно -
SECURITY.* SecurityEvent=\"InvalidPassword\".*RemoteAddress=\"IPV4/UDP/<HOST>/
перегружаемся:
/etc/init.d/asterisk restart
/etc/init.d/iptables restart
/etc/init.d/fail2ban restart

И сразу видим в нашем файле (/var/log/asterisk/fail2ban2) того, кто пытается взломать и позвонить
у меня это сегодня выглядит так:
[2013-08-07 04:05:50] NOTICE[22782][C-00000053] chan_sip.c: Failed to authenticate device 8888<sip:8888@мой_внешний_IP>;tag=ccaac5f7
[2013-08-07 04:05:50] SECURITY[22764] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="1375833950-625229",Severity="Error",Service="SIP",EventVersion="2",AccountID="9810972597562753",SessionID="0x18b0268",LocalAddress="IPV4/UDP/мой_внешний_IP/5060",RemoteAddress="IPV4/UDP/82.205.5.154/5074",Challenge="70127e36",ReceivedChallenge="70127e36",ReceivedHash="b71129d331fc00f5a0050f45a49d898a"

Вижу следующее:
Что - IP адрес: 82.205.5.154, Страна: Palestinian Territory, Город: Ramallah
некий "не хороший человек" пытался подключиться к моему номеру № 8888 и позвонить на номер: 9810972597562753 (а это Израиль)
ФигВам !!!

и приходит письмо на почту:
Hi,
The IP 82.205.5.154 has just been banned by Fail2Ban after
3 attempts against SIP.
Here are more information about 82.205.5.154:
Regards,
Fail2Ban

Не претендую на оригинальность, но и так можно.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
avolon



Зарегистрирован:
15.03.2011
Сообщения: 53
Откуда: Россия

Статус: Оффлайн 

СообщениеДобавлено: Чт Авг 15, 2013 06:49    Заголовок сообщения:

сделал все как написано ,но нет в логах * нечего (((
Asterisk 1.8.21.0
Вернуться к началу
Посмотреть профиль Отправить личное сообщение AIM Address
Ralcom



Зарегистрирован:
05.07.2012
Сообщения: 57
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Чт Авг 15, 2013 10:33    Заголовок сообщения:

по этому адресу: /var/log/asterisk/fail2ban2
нет ничего?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
koqep



Зарегистрирован:
26.01.2010
Сообщения: 221
Откуда: Челябинская обл.

Статус: Оффлайн 

СообщениеДобавлено: Чт Авг 15, 2013 12:56    Заголовок сообщения:

Еще вот такое правило можно добавить

Код:
SECURITY.* SecurityEvent=\"FailedACL\".*RemoteAddress=\"IPV4/UDP/<HOST>/


В консоли астериска наш любимый Failed to authenticate device* но у меня совпало с существующим пиром и поэтому уже не InvalidPassword, в FailedACL
Код:

[2013-08-15 17:48:03.534] NOTICE[32196] chan_sip.c: Failed to authenticate device 1008<sip:1008@92.222.28.40>;tag=6692ac70

[2013-08-15 17:48:03.536] SECURITY[32178] res_security_log.c: SecurityEvent="FailedACL",EventTV="1376567283-536597",Severity="Error",Service="SIP",EventVersion="1",AccountID="810972597562753",SessionID="0x97d22b0",LocalAddress="IPV4/UDP/92.222.28.40/5060",
RemoteAddress="IPV4/UDP/192.99.0.69/5071",ACLName="device_must_match_acl"


P.S.
Спасибо за наводку, всегда знал что это можно сделать штатными средствами без всяких патчей, но я думал и смотрел в сторону AMI

_________________
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name Jabber ID Телефон
koqep



Зарегистрирован:
26.01.2010
Сообщения: 221
Откуда: Челябинская обл.

Статус: Оффлайн 

СообщениеДобавлено: Пн Авг 19, 2013 05:55    Заголовок сообщения:

 avolon @ Чт Авг 15, 2013 11:49 писал(а):
сделал все как написано ,но нет в логах * нечего (((
Asterisk 1.8.21.0


В 1.8 logger не поддерживает уровень security, видимо придется патчить или переходить на другую версию

_________________
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name Jabber ID Телефон
alex286



Зарегистрирован:
14.06.2009
Сообщения: 71
Откуда: Москва

Статус: Оффлайн 

СообщениеДобавлено: Вт Сен 17, 2013 04:34    Заголовок сообщения:

А у меня, версия 11.4.0, почему-то в качестве адреса. вот это... "RemoteAddress="IPV4/TCP/127.0.0.1/6082"... Что делать?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
koqep



Зарегистрирован:
26.01.2010
Сообщения: 221
Откуда: Челябинская обл.

Статус: Оффлайн 

СообщениеДобавлено: Вт Сен 17, 2013 04:58    Заголовок сообщения:

Всю строку можешь показать?
_________________
Jabber конференция
сервер: conference.jabber.ru
комната: asterisk
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name Jabber ID Телефон
Wapo



Зарегистрирован:
08.05.2009
Сообщения: 1363
Откуда: СПб.

Статус: Оффлайн 

СообщениеДобавлено: Вт Сен 17, 2013 09:15    Заголовок сообщения:

У меня версия 11.4 из исходников. Уровень security не работал КОРРЕКТНО пока ..... комп полность железно не перегрузился (вырубали электричество). После этого все ок.
_________________
P4 3.0 + 1Gb CentOS 5.8 Aster 1.8.16
Не люблю gui-сборки: натуральный продукт вкуснее.
И еще: я ПРОФИ так как НЕ ЛЕНЮСЬ читать литературу.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора Skype Name
Список форумов Asterisk Forum -> Asterisk IP PBX На страницу Пред.  1, 2, 3  След. Ответить на тему
Страница 2 из 3

Добавить в Избранное

 
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
You cannot attach files in this forum
You cannot download files in this forum