AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

Кто-то ломает мой сервак?

Asterisk GUI 6 сообщений 06.09.2010 04:06 - 21.11.2010 07:29
#1 06.09.2010 04:06

Кто-то ломает мой сервак?

Приветствую всех...
Сегодня в отчетах триксбокса появились такие строки причем ночью:

Code:

2010-09-05 22:48:34 SIP/Х.Х.Х.Х-09ee6a08 89915800557578625 89915800557578625 s ANSWERED 0
2010-09-06 00:58:15 SIP/Х.Х.Х.Х-b7d7c868 2929955862088366279 2929955862088366279 s ANSWERED 0
2010-09-06 03:09:03 SIP/Х.Х.Х.Х-09eaf9e0 1775635527 1775635527 s ANSWERED 0



где Х.Х.Х.Х это IP моего сервака...


скажите пжалста, что это и как с этим бороться?[/code]
#2 06.09.2010 08:45
http://asteriskforum.ru/viewtopic.php?t=6762
_________________
Мои рекомендации: Asterisk-1.8 + G.722 кодек = лучший выбор!
Успехов!
#3 09.09.2010 12:41
спасибо...поставил fail2ban, подскажите как проверить его работоспособность? действительно ли он защищает? или я может ошибаюсь что он у меня работает...

в логе вижу такую запись которая меня смущает

а именно ошибка

Code:
2010-09-09 17:37:28,665 fail2ban.actions.action: INFO Set actionStart = printf %b "Subject: [Fail2Ban] : started
From: Fail2Ban
To: \n
Hi,\n
The jail has been started successfully.\n
Output will be buffered until lines are available.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f
2010-09-09 17:37:28,665 fail2ban.actions.action: INFO Set actionUnban =
2010-09-09 17:37:28,666 fail2ban.actions.action: INFO Set actionCheck =
2010-09-09 17:37:28,687 fail2ban.actions.action: ERROR iptables -N fail2ban-ASTERISK
iptables -A fail2ban-ASTERISK -j RETURN
iptables -I INPUT -p all -m multiport --dports ssh -j fail2ban-ASTERISK returned 200
#4 25.09.2010 04:36
Поменяй пароли на maint и wwwadmin, fail2ban - работает, отлично банит, но если пассы не 10 символов с буковками и циферьками, то не очень нужен тогда он, но могут за доссить, проц вешается, а тут fail2ban поможет.
Проверь целостность rpm пакетов ( глянь в инете, что енто такое)
rpm -V procpsww
rpm -V coreutils

Проверь, разрешены или отключены анонимные звонки, отруби возможность анонимных звонков, по добру и здорову.
#5 25.09.2010 09:54
Тут скорее вопрос не в fail2ban а в объединении контекстов входящих и исходящих вызовов. Fail2Ban защитит от левых регистраций, но что будет если напрямую, без регистрации отправить на сервак звонок по определенному экстеншену?
_________________
Asterisk 1.4.30 @ Ubuntu 9.04 + Cisco MC3810 + NEC NEAX 2000IPS + Polycom IP Phones
#6 21.11.2010 07:29
вот увидел несколько подобных попыток в логах:

[Nov 19 14:58:22] VERBOSE[2780] netsock.c: == Using SIP RTP TOS bits 184
[Nov 19 14:58:22] VERBOSE[2780] netsock.c: == Using SIP RTP CoS mark 5
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [00014089078000@from-sip-external:1] NoOp("SIP/67.215.65.132-00000403", "Received incoming SIP connection from unknown peer to 00014089078000") in new stack
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [00014089078000@from-sip-external:2] Set("SIP/67.215.65.132-00000403", "DID=00014089078000") in new stack
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [00014089078000@from-sip-external:3] Goto("SIP/67.215.65.132-00000403", "s,1") in new stack
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Goto (from-sip-external,s,1)
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:1] GotoIf("SIP/67.215.65.132-00000403", "0?checklang:noanonymous") in new stack
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Goto (from-sip-external,s,5)
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:5] Set("SIP/67.215.65.132-00000403", "TIMEOUT(absolute)=15") in new stack
[Nov 19 14:58:22] VERBOSE[4543] func_timeout.c: Channel will hangup at 2010-11-19 14:58:37.524 YEKT.
[Nov 19 14:58:22] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:6] Answer("SIP/67.215.65.132-00000403", "") in new stack
[Nov 19 14:58:23] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:7] Wait("SIP/67.215.65.132-00000403", "2") in new stack
[Nov 19 14:58:25] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:8] Playback("SIP/67.215.65.132-00000403", "ss-noservice") in new stack
[Nov 19 14:58:25] VERBOSE[4543] file.c: -- Playing 'ss-noservice.gsm' (language 'en')
[Nov 19 14:58:30] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:9] PlayTones("SIP/67.215.65.132-00000403", "congestion") in new stack
[Nov 19 14:58:30] VERBOSE[4543] pbx.c: -- Executing [s@from-sip-external:10] Congestion("SIP/67.215.65.132-00000403", "5") in new stack
[Nov 19 14:58:35] VERBOSE[4543] pbx.c: == Spawn extension (from-sip-external, s, 10) exited non-zero on 'SIP/67.215.65.132-00000403'
[Nov 19 14:58:35] VERBOSE[4543] pbx.c: -- Executing [h@from-sip-external:1] Hangup("SIP/67.215.65.132-00000403", "") in new stack
[Nov 19 14:58:35] VERBOSE[4543] pbx.c: == Spawn extension (from-sip-external, h, 1) exited non-zero on 'SIP/67.215.65.132-00000403'
[Nov 19 14:58:42] WARNING[2780] chan_sip.c: Maximum retries exceeded on transmission 177360175354002585148219 for seqno 1 (Critical Response) -- See doc/sip-retransmit.txt.

Все с одного IP но по несколькими разными номерами (отличаются префиксами). Все попытки заканчивались одинаково.
Во freepbx анонимные звонки запрещены.
Пробовал сам позвонить подобным образом напрямую на внутренний номер (например 1020@192.168.0.50) без регистрации на сервере. Звонки не проходят. Выдает ss-noservice.gsm

Стоит ли беспокоится по данному поводу и как то дополнительно защищать сервер?