Возможно, кому-то данная информация поможет сохранить деньги и нервы…

------------------------------------------

В последние месяцы участились случаи взломов корпоративных VoIP систем, работающих по SIP протоколу. Сумма нанесенных убытков в ряде случаев достигает $2000 и более.
По всей видимости, работает группа злоумышленников использующих SIP сканер для определения корпоративных IP-АТС. Данный SIP сканер идентифицирует себя как User-Agent: friendly-scanner. Сканирование производится с различных IP-адресов, преимущественно европейских. После того, как IP-АТС вычислена, осуществляется подбор логина и пароля по словарю. Пробуются различные комбинации, например: admin admin, voip voip, asterisk asterisk и т.п. После того как логин и пароль удалось подобрать, злоумышленники пробуют осуществлять звонки с различными префиксами и без него. Если система пропускает через себя звонки, то на адрес корпоративной IP-АТС направляется VoIP трафик на дорогие направления, такие как Сомали, Лихтенштейн мобильные, Куба и т.п. Несанкционированное использование IP-АТС обычно осуществляется ночью или в выходные дни.

Методы защиты

1. Проведите ревизию всех логинов и паролей имеющихся на вашей IP-АТС. Лучше всего если логин и пароль состоит не менее чем из восьми знаков, и в них содержатся цифры и буквы. Также следует обратить внимание, что на старых версиях Asterisk есть служебный логин и пароль (asterisk, asterisk), который тоже может быть использован для получения несанкционированного доступа.

2. Поскольку хакерские атаки, как правило, осуществляются в выходные дни или ночью, имеет смысл настроить корпоративную IP-АТС таким образом, чтобы она была доступна только в рабочее время.

3. В связи с тем, что злоумышленники осуществляют звонки по дорогим и экзотическим направлениям, имеет смысл заблокировать направления, по которым ваши сотрудники наверняка звонить не будут.

4. Позаботится о том, чтобы логины и пароли, используемые в корпоративной IP-АТС не стали доступны ненадежным сотрудникам или посторонним лицам.

5. Если IP-АТС используется только для звонков абонентов, находящихся во внутренней сети предприятия, то имеет смысл заблокировать возможность входящих звонков из Интернета на корпоративную IP-АТС.

Источник- http://www.sipmarket.net/RU/news_text.aspx?id=56

вот если бы вы точные рекомендации по защите астериска привели, это другое дело...

Да здесь уже есть соответствующая тема.
А проблема весьма и весьма реальна. Даже SSH стали подбирать гораздо чаще и аккурат с 17:00 по 7:59 по Москве, совпадение?
ЗЫ:
Chain fail2ban-SIP
target prot opt source destination
DROP all -- 109.123.86.23 anywhere
DROP all -- 196.37.28.196 anywhere
DROP all -- ks200905.kimsufi.com anywhere
DROP all -- dmz-132.esedu.fi anywhere
DROP all -- unassigned.psychz.net anywhere
DROP all -- sym.gdsz.cncnet.net anywhere
DROP all -- 61.164.41.144 anywhere
DROP all -- 89.114.153.169 anywhere
DROP all -- ptr.ssha.ca anywhere
DROP all -- 213.155.22.72 anywhere
DROP all -- 218.30.5.19 anywhere
DROP all -- mail.mailiross.com anywhere
DROP all -- 221.236.12.33 anywhere
DROP all -- 213.221.21.102 anywhere
DROP all -- biofusion.kaist.ac.kr anywhere
DROP all -- dejmal.net.cvut.cz anywhere
RETURN all -- anywhere anywhere

Chain fail2ban-SSH
target prot opt source destination
DROP all -- 206-217-140-194-chicago.enscloud.com anywhere
DROP all -- 129.194.160.75 anywhere
DROP all -- 60.31.211.5 anywhere
DROP all -- 117.41.229.178 anywhere
DROP all -- 155.230.105.168 anywhere
DROP all -- 218.1.69.241 anywhere
DROP all -- ip72-201-138-45.ph.ph.cox.net anywhere
DROP all -- 200.150.158.164 anywhere
DROP all -- kse-web1.kaist.ac.kr anywhere
DROP all -- 189.59.105.237.dynamic.adsl.gvt.net.br anywhere
DROP all -- h-64-105-5-41.atlngahp.static.covad.net anywhere
DROP all -- 123.65.217.183 anywhere
DROP all -- 222.74.43.26 anywhere
DROP all -- ns2.rheingold.com.ua anywhere
DROP all -- notused.rokscom.net anywhere
DROP all -- 124.42.104.9 anywhere
DROP all -- no-rdns-yet.ohtele.com anywhere
DROP all -- 123.103.15.37-bj-cnc anywhere
DROP all -- web.clubgallistico.net anywhere
DROP all -- 218.6.16.133 anywhere
DROP all -- 220.241.205.221 anywhere
DROP all -- flaminco.cust.ignum.cz anywhere
DROP all -- 190.68.110.26 anywhere
DROP all -- 211.201.100.26 anywhere
DROP all -- 59.151.119.180 anywhere
DROP all -- 201.24.82.11 anywhere
DROP all -- 196.203.253.61 anywhere
DROP all -- 59.108.54.66 anywhere
DROP all -- 41.204.63.204 anywhere
DROP all -- 221.230.131.234 anywhere
DROP all -- 119.188.7.163 anywhere
DROP all -- 119.188.7.133 anywhere
DROP all -- 115.165.163.55 anywhere
DROP all -- 94-76-249-99.static.as29550.net anywhere
DROP all -- 217.69.174.233 anywhere
DROP all -- pc12.zz.ha.cn anywhere
DROP all -- wpc0040.amenworld.com anywhere
DROP all -- sd-16492.dedibox.fr anywhere
DROP all -- 59.151.112.74 anywhere
DROP all -- host133-191-static.52-88-b.business.telecomitalia.it anywhere
DROP all -- 218.8.82.99 anywhere
DROP all -- 61.83.228.109 anywhere
DROP all -- hosted-by.altushost.com anywhere
DROP all -- 18.89.7.178 anywhere
DROP all -- system.firefoxlanka.com anywhere
DROP all -- 211.109.179.47 anywhere
DROP all -- mrs.optimum-km.cz anywhere
DROP all -- 60.195.250.54 anywhere
DROP all -- ool-4b63b63b.static.optonline.net anywhere
DROP all -- 195.56.111.161 anywhere
DROP all -- 124.232.131.82 anywhere
DROP all -- 118.hosting-7.xtream.co.il anywhere
DROP all -- netblk-207-171-4-50.phyber.com anywhere
DROP all -- 93.184.71.14 anywhere
DROP all -- 222.218.124.110 anywhere
DROP all -- 204.92.123.233 anywhere
DROP all -- 202.100.108.25 anywhere
DROP all -- 218.145.128.230 anywhere
DROP all -- 61.131.209.7 anywhere
DROP all -- sleepy.shotoku.ac.jp anywhere
DROP all -- ampere2.eui.fh-koblenz.de anywhere
DROP all -- 119.18.184.41 anywhere
DROP all -- asy21736.as1313.sol.superonline.com anywhere
DROP all -- 122-117-229-191.hinet-ip.hinet.net anywhere
DROP all -- 195.235.72.25 anywhere
DROP all -- mail.metromech1.com anywhere
DROP all -- 200.55.198.67 anywhere
DROP all -- 220.165.28.67 anywhere
DROP all -- dsl-149-2-125.hive.is anywhere
DROP all -- 151.49.153.219.cq.cq.cta.net.cn anywhere
DROP all -- staging.myrapidmd.com anywhere
DROP all -- 219.140.173.216 anywhere
DROP all -- 56h26.xjtu.edu.cn anywhere
DROP all -- sd-13539.dedibox.fr anywhere
DROP all -- rashost.com anywhere
DROP all -- 109.123.74.75 anywhere
DROP all -- 116.125.126.40 anywhere
DROP all -- 151.8.228.249 anywhere
DROP all -- 202.107.233.163 anywhere
DROP all -- 110.45.147.98 anywhere
DROP all -- 201.200.190.171 anywhere
DROP all -- 218.4.205.201 anywhere
DROP all -- 211.151.185.7 anywhere
DROP all -- 221.7.151.222 anywhere
DROP all -- 218.234.33.31 anywhere
DROP all -- 119.188.7.159 anywhere
DROP all -- 218.107.208.147 anywhere
DROP all -- segment-124-30.sify.net anywhere
DROP all -- 125.77.107.212 anywhere
DROP all -- 245-101-138-120.mysipl.com anywhere
DROP all -- 124-174.111.65.serverpronto.com anywhere
DROP all -- 213-199-219-219.tktelekom.pl anywhere
DROP all -- 207.210.117.232 anywhere
DROP all -- 222.188.117.3 anywhere
DROP all -- 114.80.94.183 anywhere
DROP all -- host68-239-static.23-80-b.business.telecomitalia.it anywhere
DROP all -- 67.215.230.108 anywhere
DROP all -- 211.181.136.234 anywhere
DROP all -- server77-68-60-49.live-servers.net anywhere
RETURN all -- anywhere anywhere

все таки склоняюсь к шедулеру, который каждые 5 минут будет сканировать ddns клиентов и на фаерволле разрешать только их адреса. Иначе списки блокировки рискуют вырасти до 2х миллиардов строк.

А блокировать сети не пробовали? ;)

Конкретные рекомендации давать сложно у каждого своя система и какието свои нюансы. Я хотел прежде всего обратить на это внимание. А , то уже задолбало....

По моему опыту в большинстве случаев причина банальна.
Простые логины и пароли, которые можно подобрать.

Хотя методы совершенствуют.
Вот и SSH стали ломать.

SSH всегда ломали
еще года 4 назад натыкался в логах на сообщения...

Намного раньше. До этого telnet, bind ломали и другие программы.
Так что пытаются ломать все, так что можно и не писать об этом...

Другой вопрос, что если сломают SIP, то могут неплохо "обуть".
Поэтому важна не констатация фактов, а конкретные рекомендации.
Причем рекомендация не использовать простые пароли -- стара как жизнь!
root/root и т.д. до сих пор можно встретить.

у меня несколько знакомых контор через сломанный SIP обули на 1-1.5 млн руб., т.ч. вопрос серьёзный. Я в первую очередь перевешиваю ssh с 22 порта на другой, типа 61022, потом включаю параметры deny/permit в астериске. Ну и использование криптостойких паролей никто не отменял.

кстати, permit можно по доменному имени сделать?