Как бороться с "Sending fake auth rejection for device"?

Question

Всем доброго времени. Повадились ко мне редиски пароли к номерам подбирать. В результате регулярно в логах наблюдаю: "chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@my_internal_ip>;tag=71b060d8".

Собственно вопрос: как получить ip адрес неугомонного брутфорсера, чтобы передать его в fail2ban? На одном из форумов нашел такой совет:

В файле chan_sip.c в районе строки №23937 и №21298 ты найдешь функции, которые и генерят это сообщение. Чуть выше есть похожая, но с выдачей IP. Просто сделай copy-paste, и будет тебе счастье. Ну и в fail2ban новое правило пропиши, основанное на этом сообщении. Как-то так.Как-то так.

Но у меня нет файла chan_sip.c или я не то и не там ищу. Короче буду рад любым советам. Спасибо.

Answer 1

0

ух. chan_sip.c это исходник канала SIP астериска. оно тебе не надо

можно сделать так

asterisk -rx "sip show channel"

там будет куча адресов.

но правильно сделать детект через iptables

iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 2 --hitcount 60 --name SIP \
-j LOG --log-prefix "SIP flood detected: "

а еще правильнее нанять специалиста. может у вас еще дырки есть.

ссылка удалить спам редактировать

ответил 2012-04-17 16:18:11 +0400

meral

23347 ● 24 ● 20 ● 177
http://pro-sip.net/

обновил 2012-08-28 12:55:29 +0400

Comments

Спасибо за ссылку, но fail2ban у меня настроен и гадов регулярно отлавливает. Только у меня нет уверенности, что он банит виновников сообщения "Sending fake auth rejection for device".

Bansher ( 2012-04-17 16:25:35 +0400 )редактировать

ну так если он будет работать по iptables то да, его можно настроит так, чтоб он банил всех кто часто регистрируется. и да оно работает.

meral ( 2012-04-17 16:27:55 +0400 )редактировать

Вопрос в том что там вместо IP адреса злоумышленника указывается IP адрес сервера с asterisk. Как бы человек и задавал вопрос, как узнать IP злоумышленника, чтобы fail2ban корректно отрабатывал.

SIlverJoe ( 2012-08-24 19:44:23 +0400 )редактировать

по ссылке вы наверно поленилися пройти? там какраз написано как.

meral ( 2012-08-24 22:49:25 +0400 )редактировать

Прошел конечно, стандартное описание установки fail2ban.

Повторяю, уточняю, объясняю вопрос ТС еще раз :) А что делать, если: chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@ --->>>MY-IP<<<----- >;tag=71b060d8

Где MY-IP = IP адресу АСТЕРИСК сервера во внутренней сети?????

Себя же банить бессмысленно, где взять IP который адрес злоумышленника?

SIlverJoe ( 2012-08-25 10:08:35 +0400 )редактировать

ставить fail2ban с репортом из iptables...вы всетаки дочитайте то что по ссылке.

meral ( 2012-08-25 18:40:35 +0400 )редактировать

Вы уж меня простите, но ткните как говорится носом :) Не могу поянт где. Вижу только станартную настройку fail2abn

SIlverJoe ( 2012-08-27 19:38:08 +0400 )редактировать

вы вообще нормальный? asterisk-iptables секцию прочитайте(прокрутите вниз на 75%)

meral ( 2012-08-27 21:17:30 +0400 )редактировать

Там значится что fail2ban будет применять действие iptables-allports при совпадении шаблонов указанных в фильтре /etc/fail2ban/filter.d/asterisk.conf со строками в лог файле астериска.

А где то что спрашивал ТС???? Вы внимательно читали вопрос? У меня так настроено на двух серверах, и все работает за исключением этого момента. За сим возвращаю вам вопрос - вы нормальный?

SIlverJoe ( 2012-08-28 12:03:19 +0400 )редактировать

Вот выхлоп из лога [2012-08-26 22:18:46] NOTICE[1390] chan_sip.c: Sending fake auth rejection for device ru<sip:ru@172.16.8.4>;tag=12dc9e10

172.16.8.4 - IP адрес на сетевухе сервера где стоит asterisk. Кого банить?

SIlverJoe ( 2012-08-28 12:11:05 +0400 )редактировать

написал как сделать через iptables. смотриет выше.

meral ( 2012-08-28 12:55:57 +0400 )редактировать

Проверил. Только с --hitcount 20. В логах от iptables пусто. В логах астериска сабжевые сообщения имеются.

SIlverJoe ( 2012-09-28 14:39:54 +0400 )редактировать

а уменя работает. тут вобщето полный скрипт выложен гдето. мной. там еще иногда надо логи правильн настроить(типа чтоб вообще писало в лог).

meral ( 2012-09-28 14:50:37 +0400 )редактировать

имеется в виду настройки (r)syslogd ?

SIlverJoe ( 2012-09-28 18:51:37 +0400 )редактировать

имеется в виду что если вы не можеет сделать сами, ищите в интернете как это делается. если у вас iptables не логирует,то причем тут астериск?

meral ( 2012-09-28 19:33:30 +0400 )редактировать

Answer 2

Вобщем для всех остальных кто найдет этот топик для решения проблемы таких сообщений:

chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@192.168.x.x>;tag=71b060d8

Приведенное здесь решение с помощью iptables будет работать только при условии

--seconds 2 --hitcount 60

не менее 60 пакетов в 2 секунды. Или, если не править начальные настройки Linux (hitcount = 20), то можно выставить не менее 20 пакетов в 1 секунду. То есть, если с одного адреса на порт назначения прийдет более 20 пакетов в секунду, то правило сработает.

Обратите внимания, что правлио заносит сообщения в лог. Для отброса пакетов надо добавить второе правило.

iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 1 --hitcount 20 --name SIP
    -j LOG --log-prefix "SIP flood detected: "
iptables -A INPUT -p udp --dport 5060 -m recent --update --seconds 1 --hitcount 20 --name SIP
-j DROP

Или разбираться с фильтрами fail2ban.

Answer 3

Вообще, сканят voip несколькими утилитами, и при сканировании утилиты вставляют свой юзер агент. Тоесть, достаточно заставить iptables дропать пакеты с нужными юзер агентами:

iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP

список остальных агентов: sip-scan, sundayddr, iWar, sipsak, sipvicious. У меня, после добавления этих правил, fail2ban просто перестал срабатывать, все отбивается даже не доходя до него.

теоретик? половина утилит пишет asterisk 1.4.x, это не говоря о том, что вы вводите деяток сложных правил вместо одного в iptables/
meral ( 2012-11-18 17:27:53 +0400 )редактировать

Answer 4

При попытке взлома могут появляться вот такие сообщения в full:

chan_sip.c: Sending fake auth rejection for device 5550000<sip:5550000@[external_ip]>;tag=71b060d8".

Сейчас не видно с какого IP адреса идет атака, необходимо пересобрать астериск со следующими параметрами: Открываем исходники астериска файл /../asterisk-1.8.17.0/channels/chan_sip.c ищем строки:

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From"));

В окне поиска вводим: Sending fake auth rejection for device

Меняем строку:

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s\n", get_header(req, "From"));

на:

ast_log(LOG_NOTICE, "Sending fake auth rejection for device %s [IP: %s]\n", get_header(req, "From"), ast_sockaddr_stringify(addr));

после этого должен отображаться Ip адрес атакующего. В версии 1.8.17.0 пришлось заменить 4 строки.

исходник для 1.8.17.0

Answer 5

В Asterisk 11 появилось более детальное логирование подключений в logger.conf добавьте строку security_log => security
Так же нужно переписать правила поиска регулярок в fail2ban.
ну и конечно добавить строки блокировки сканера в Iptables, как подcказал Meral

Как бороться с "Sending fake auth rejection for device"?

5 Ответов

Comments

Comments

Ваш ответ

Закладки и информация

Статистика

Похожие вопросы: