Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

странные сообщения в логах. Взлом?

0

Доброе утро, коллеги!

Сегодня в консоли asterisk начали мелькать странные сообщения:

    [Nov  1 10:03:00] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '3011442035190464' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:01] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '4011442035190468' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:02] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '5011442035190466' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:03] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '6011442035190465' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:04] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '7011442035190466' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:05] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '8011442035190468' rejected because extension not found in context 'default'.
  == Using SIP RTP CoS mark 5
[Nov  1 10:03:06] NOTICE[1225]: chan_sip.c:20276 handle_request_invite: Call from '' to extension '+0442035190465' rejected because extension not found in context 'default'.

До этого я наблюдал только попытки перебора пароля к конкретным юзерам, однако сейчас уже — попытки звонков. Что это? Подобрали пароль? Но, тогда, к какому пользователю? И, пароли у всех юзеров стоят очень сложные пароли... Тогда что это? звонок без авторизации? но, тогда, как...

удалить закрыть спам изменить тег редактировать

спросил 2011-11-01 09:59:19 +0400

krotish Gravatar krotish
41 11 3 14
http://www.ailan.ru/

Comments

(из моего офиса, разумеется, на эти номера никто и не пытался звонить)

krotish ( 2011-11-01 10:00:11 +0400 )редактировать

Привет Египтянам и Палестинцам.

zzuz ( 2011-11-01 12:04:28 +0400 )редактировать

3 Ответа

1

защшиттиться так

1)настроить fail2ban с чтением логов iptables(средне) и сами iptables на мониторинг превышения колчиества и качества sip пакетов(в зависимости от сложности правил от среднего до експерта)

2) закрыть гостевой доступ если есть(легко)

   в  sip_general_custom.conf 
    allowguest=no

3) для гостей запретить трансфер звонков(легко)

 в  sip_general_custom.conf
  transfer=no

но потом надо разрешать для ваших транков входящих.

ссылка удалить спам редактировать

ответил 2011-11-01 12:31:10 +0400

meral Gravatar meral flag of Ukraine
21228 24 19 169
http://pro-sip.net/

обновил 2011-11-01 12:33:05 +0400

Comments

Спасибо огромное за советы. хм, а можно чуть подробнее, как работает гостевой доступ к сип?

krotish ( 2011-11-01 12:42:40 +0400 )редактировать

если выключен, то звонок с неизвестного(непрописанного) адреса отрбуается. если включен идет в ваш входящий контекст(в freepbx from-trunk). тоесть если его выключить надо все адреса провайдера прописывать, но более безопасно

meral ( 2011-11-01 13:46:23 +0400 )редактировать

а как это используется на практике? опять же, не очень понятно. Т.е. это нужно, чтобы позвонить не имея sip аккаунта на сервере?

krotish ( 2011-11-01 14:17:25 +0400 )редактировать

ну вот если звонят на номер 1234556@адрес_сервера, то если включен гостевой это пройдет. а еслинет, то попросит авторизацию.

meral ( 2011-11-01 16:27:03 +0400 )редактировать
0

Тема не раз поднималась, вот последняя http://asterisk-support.ru/question/1183/kak-zashchititsia

ссылка удалить спам редактировать

ответил 2011-11-01 11:41:36 +0400

Ecuador Gravatar Ecuador
845 10 9 23

Comments

считал, что это не одно и то же. спасибо. посмотрю.

krotish ( 2011-11-01 11:47:36 +0400 )редактировать
0

Такое утро никогда не бывает добрым...
Таки да, это попытки взлома путем изменения заголовка SIP.

ссылка удалить спам редактировать

ответил 2011-11-01 10:56:39 +0400

TandemK Gravatar TandemK
175 3 10

Comments

да уж, уто во всём не доброе, согласен, бро. Как от этого защититься?

krotish ( 2011-11-01 10:59:27 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2011-11-01 09:59:19 +0400

Просмотрен: 2,758 раз

Обновлен: Nov 01 '11

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.