Как такое возможно?
Сегодня, под вечер, повалился спам от Fail2Ban, глянул в лог Астера а там такое: См. код ниже
это даже не одна секунда лога, и все с разных IP. Есть мысли как вычислить негодяя, не прибегая к помощи админа ISP который сейчас спит
| Code: |
| [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"4188"' failed for '203.152.20.170' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3443"' failed for '110.137.182.57' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9679"' failed for '122.3.183.13' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6627"' failed for '178.125.195.79' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"5392"' failed for '41.238.174.117' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"2835"' failed for '118.96.90.147' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"5183"' failed for '91.187.103.13' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8992"' failed for '178.120.7.103' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"5795"' failed for '83.149.36.208' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7984"' failed for '95.129.239.163' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9075"' failed for '117.199.130.24' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7449"' failed for '77.28.89.15' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"asshole"' failed for '81.213.155.224' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"941"' failed for '109.166.134.62' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9534"' failed for '189.107.192.233' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"99"' failed for '87.68.46.41' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6066"' failed for '118.96.35.138' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6331"' failed for '79.106.9.148' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8921"' failed for '190.65.196.189' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8096"' failed for '189.71.155.169' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9938"' failed for '85.106.147.129' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"5839"' failed for '41.100.98.90' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8395"' failed for '78.60.253.21' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"1076"' failed for '189.72.140.33' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"1230"' failed for '118.96.149.138' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6064"' failed for '79.114.70.207' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"1103"' failed for '110.5.100.26' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9488"' failed for '190.204.92.179' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8252"' failed for '125.163.179.138' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6939"' failed for '187.48.144.220' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9711"' failed for '113.53.124.220' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3048"' failed for '117.242.45.27' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"855"' failed for '187.131.154.68' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7907"' failed for '125.99.17.189' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8045"' failed for '110.139.202.151' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9750"' failed for '64.32.92.42' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8705"' failed for '121.96.45.250' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"2912"' failed for '187.19.50.106' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3332"' failed for '189.104.141.193' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"1978"' failed for '178.94.68.145' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"900"' failed for '110.44.174.195' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"2876"' failed for '190.207.96.193' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"4137"' failed for '125.164.64.57' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"175"' failed for '78.161.120.217' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6081"' failed for '118.96.171.200' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3040"' failed for '190.149.3.243' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6274"' failed for '190.94.196.209' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6628"' failed for '178.125.195.79' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"6693"' failed for '187.56.32.222' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9461"' failed for '210.212.39.33' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7700"' failed for '125.162.32.213' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"9372"' failed for '78.23.21.102' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7567"' failed for '88.240.10.243' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"7985"' failed for '95.129.239.163' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3394"' failed for '41.35.150.135' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"8993"' failed for '178.120.7.103' - No matching peer found [2010-10-10 00:42:37] NOTICE[3045] chan_sip.c: Registration from '"3621"' failed for '187.105.18.112' - No matching peer found |
| Code: |
| 1577K 693M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 |
Сейчас атаки нет. Но я думаю, что это не повод открывать порт обратно. Наверное имеет смысл перенести сигнализацию на другой порт. Но этот вариант надо еще обдумать.
было на выходных, щас вроде тишина
| Quote: |
| ddos китайский наверняка было на выходных, щас вроде тишина |
Вот и мне кажется, что это не взлом а ddos. Не один из адресов не является прокси, значит либо это Tor сеть, либо куча зараженных компов ( не исключино что это происки Skype'a
). Только с какай целью ddos'ят?
когда ж вы научитесь правилу
все что не разрешено то запрещено.
настройка фаервола по шагам:
1. запретить все!
2 разрешить SIP только ему
3 запретить все
4 разрешить SIP только ему
5 запретить все
6Разрешить SSH никому.
все запретить
_________________
Ubuntu-Server 6.06 /Gentoo /Asterisk 1.4.21.1/app_fax(t38) /spandsp-0.0.5pre4
Digium TDM400/Polycom IP301 SP /Snom 360/ Seiros ТИ24/Linksys 9X/ Kirk 600IPv3
| Cache wrote: |
| эх блин админы локалхостов 1. запретить все! 2 разрешить SIP только ему |
Проблемы не решает. Скорее даже усугубляет ее. У меня сотрудники летают в командировки по всему миру. Так что держать закрытым 5060 для всех долго --- я не могу. Так что приходится держать его открытым для всех и ориентироваться на fail2ban. И в случае паники -- временно отрезать мир. Есть правда мысль попробывать SNORT. Есть мнение что он будет отрабатывать более оперативно.
грабим все нотайсы в файл через asterisk -r > /tmp/attack, естественно запускаем через screen -d -m чтобы стал псевдо демоном
далее тэйлим файл /tmp/attack и передаем вывод в перловый скрипт, который строит по переданным строкам ассоциативный (ip/количество фейлов) массив , для каждого из ip адресов и при достижении значения 10 делает system вызов к фаирволу (ipfw/iptables или чем и какая у Вас система)
Выкладывать не буду - такие вещи должны уметься писаться каждым
| Quote: |
| грабим все нотайсы в файл через asterisk -r > /tmp/attack, естественно запускаем через screen -d -m чтобы стал псевдо демоном |
просветите, это лучше чем & в конце команды?
| yuri_pp wrote: |
| А скриптик написать слабо - 10 минут и все готово ? |
И даже скрипт писать не надо. Все уже написано до нас. Fail2Ban именно этим и занимается.
НО! SNORT работает на другом уровне, а именно на IP уровне. Соотвественно его реакция будет заведомо быстрее реакции любого скрипта анализирующего логи.
В случае, о котором идет речь в начале ветки Fail2Ban не справлялся с таким огромным количеством запросов, и соответственно реагировал с большим опозданием.
А настроить штатный logger * на запись NOTICE в отдельный файл или ишо куда уже некомильфо?