попытка взлома?

27.09.2010

#1 25.11.2010 22:12

попытка взлома?

Сегодня в логах появились такие записи:

[Nov 25 23:01:15] NOTICE[2582]: chan_sip.c:21639 handle_request_register: Registration from '120 ' failed for '62.114.167.45' - No matching peer found

на фаерволе прописал:

-A INPUT -p udp -j DROP
-A INPUT -p tcp -j DROP

мои все транки отвалились, а эти записи все лезут. проверил тпп дампом:

Code:

Via: SIP/2.0/UDP 62.114.167.45:10004;rport;branch=z9hG4bK81B95FF2A348465492DB11ED5DCCCC06^
From: 120 ^
To: 120 ^
Contact: "120" ^
Call-ID: F44BCBFD08E14C13922E48E62E67319E@193.110.162.182^
CSeq: 34661 REGISTER^
Expires: 1800^
Max-Forwards: 70^
User-Agent: X-PRO build 1101^
Content-Length: 0^
^
1..L..^..^...^...0H.OW.^..".^.E.^.^...@^&..n..>r.-^.'^^بbSIP/2.0 404 Not found^
Via: SIP/2.0/UDP 62.114.167.45:10004;branch=z9hG4bK81B95FF2A348465492DB11ED5DCCCC06;received=62.114.167.45;rport=10004^
From: 120 ^
To: 120 ;tag=as50e17012^
Call-ID: F44BCBFD08E14C13922E48E62E67319E@193.110.162.182^
CSeq: 34661 REGISTER^
Server: Asterisk PBX 1.6.2.9^
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO^
Supported: replaces, timer^
Content-Length: 0^

не знаю кода копать дальше...

28.11.2004

#2 26.11.2010 04:03

вы бы сперва поиском чтоли воспользовались...

http://asteriskforum.ru/viewtopic.php?t=6762
http://asteriskforum.ru/viewtopic.php?t=5217
http://asteriskforum.ru/viewtopic.php?t=4201
_________________
Успехов!

27.09.2010

#3 26.11.2010 08:50

пасиб за ссылки, но их давно перечитал уже... пользуюсь fail2ban более двух лет, проблем небыло, а вот сейчас непонятно. Сервак был тестовый и, скорее всего, его уже ранее взламывали по ссш. Кажется, что в ип-тейблс оставили дырку, которая не видна в конфигах неопытным глазом. Принял решение переставить систему и перезалить конфиги, так будет надежнее и быстрее.

К вышеуказанному айпишнику подобраль пароль, там оказался обычный TP-LINK с открытым телнетом. Мне кажется, что владелец этого шлюза и не подозревал, что его шлюз занимался ерундой.