странные сообщения в логах. Взлом?

Question

Доброе утро, коллеги!

Сегодня в консоли asterisk начали мелькать странные сообщения:

    [Nov  1 10:03:00] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '3011442035190464' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:01] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '4011442035190468' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:02] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '5011442035190466' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:03] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '6011442035190465' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:04] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '7011442035190466' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:05] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '8011442035190468' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:06] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '+0442035190465' rejected because extension not found in context 'default'.

До этого я наблюдал только попытки перебора пароля к конкретным юзерам, однако сейчас уже — попытки звонков. Что это? Подобрали пароль? Но, тогда, к какому пользователю? И, пароли у всех юзеров стоят очень сложные пароли... Тогда что это? звонок без авторизации? но, тогда, как...

Answer 1

1

защшиттиться так

1)настроить fail2ban с чтением логов iptables(средне) и сами iptables на мониторинг превышения колчиества и качества sip пакетов(в зависимости от сложности правил от среднего до експерта)

2) закрыть гостевой доступ если есть(легко)

   в  sip_general_custom.conf 
    allowguest=no

3) для гостей запретить трансфер звонков(легко)

 в  sip_general_custom.conf
  transfer=no

но потом надо разрешать для ваших транков входящих.

ссылка удалить спам редактировать

ответил Nov 1 '11

meral

23347 ● 24 ● 20 ● 177
http://pro-sip.net/

обновил Nov 1 '11

Comments

Спасибо огромное за советы. хм, а можно чуть подробнее, как работает гостевой доступ к сип?

krotish (Nov 1 '11)edit

если выключен, то звонок с неизвестного(непрописанного) адреса отрбуается. если включен идет в ваш входящий контекст(в freepbx from-trunk). тоесть если его выключить надо все адреса провайдера прописывать, но более безопасно

meral (Nov 1 '11)edit

а как это используется на практике? опять же, не очень понятно. Т.е. это нужно, чтобы позвонить не имея sip аккаунта на сервере?

krotish (Nov 1 '11)edit

ну вот если звонят на номер 1234556@адрес_сервера, то если включен гостевой это пройдет. а еслинет, то попросит авторизацию.

meral (Nov 1 '11)edit

Answer 2

0

Тема не раз поднималась, вот последняя http://asterisk-support.ru/question/1183/kak-zashchititsia

ссылка удалить спам редактировать

ответил Nov 1 '11

Ecuador
845 ● 10 ● 10 ● 24

Comments

считал, что это не одно и то же. спасибо. посмотрю.

krotish (Nov 1 '11)edit

Answer 3

0

Такое утро никогда не бывает добрым...
Таки да, это попытки взлома путем изменения заголовка SIP.

ссылка удалить спам редактировать

ответил Nov 1 '11

TandemK
175 ● 3 ● 10

Comments

да уж, уто во всём не доброе, согласен, бро. Как от этого защититься?

krotish (Nov 1 '11)edit

странные сообщения в логах. Взлом?

Comments

3 Ответа

Comments

Comments

Comments

Ваш ответ

Закладки и информация

Статистика

Похожие вопросы: