пытаются сбрутить сип таким образом
[2013-11-25 08:14:13] NOTICE[4096][C-00000090] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=39ddd577 (50.7.255.132:5070)
[2013-11-25 08:16:02] NOTICE[4096][C-00000091] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=d01912a0 (198.27.87.224:5080)
[2013-11-25 08:27:08] NOTICE[4096][C-00000092] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=b864db92 (50.7.255.132:5074)
[2013-11-25 08:33:57] NOTICE[4096][C-00000093] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=845fe5c7 (198.27.87.224:5071)
[2013-11-25 08:40:10] NOTICE[4096][C-00000094] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=50cc3037 (50.7.255.132:5070)
[2013-11-25 08:51:23] NOTICE[4096][C-00000095] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=6cdb05c5 (198.27.87.224:5076)
[2013-11-25 08:53:50] NOTICE[4096][C-00000096] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=82449a32 (50.7.255.132:5076)
[2013-11-25 09:07:16] NOTICE[4096][C-00000097] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=cda428b3 (50.7.255.132:5078)
[2013-11-25 09:09:18] NOTICE[4096][C-00000098] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=494276db (198.27.87.224:5073)
[2013-11-25 09:20:51] NOTICE[4096][C-00000099] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=75017884 (50.7.255.132:5070)
[2013-11-25 09:27:03] NOTICE[4096][C-0000009a] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=16d86edb (198.27.87.224:5076)
т.е. поочередно меняют ip адрес на запрос. Fail2ban банит в случае, если больше 2x запросов с одного ip по порядку. Как заставить его отправлять в бан это?
Проверять
fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
Задан: Nov 25 '13
Просмотрен: 797 раз
Обновлен: Nov 25 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Для каждой версии астериска есть свои настройки fail2ban'a. Ищите...
Out (Nov 25 '13)editпричем здесь версия астера. Я собирал все вручную. Логи то есть, правила в Fail2ban есть, но не банит он это, как заставить его, уже вручную добавил эти адреса в iptables, вот так: iptables -A INPUT -s 198.27.87.224 -j DROP iptables -A INPUT -s 198.27.87.224 -j REJECT все равно пускает
manchelsi (Nov 25 '13)editМожете и ногами собрать... вывод в логи у разных версий астериска отличается
fail2ban'y надо верный лог скормить
Ищите поиском по "fail2ban не банит адрес 127.0.0.1"
Инфа по версиям: http://www.fail2ban.org/wiki/index.php/Asterisk
Out (Nov 25 '13)editДа знаю. До этого в логах при этом запросе вообще мой ip адрес отображался, лог привел к данному виду только после пересборки chan_sip.so, сейчас хоть вижу левые адреса. Вообщем копаю в правилах fail2ban, тестирую сижу. Как назло брутить с этих адресов стали в 3 раза реже.
manchelsi (Nov 25 '13)edit