пытаются сбрутить сип таким образом
[2013-11-25 08:14:13] NOTICE[4096][C-00000090] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=39ddd577 (50.7.255.132:5070)
[2013-11-25 08:16:02] NOTICE[4096][C-00000091] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=d01912a0 (198.27.87.224:5080)
[2013-11-25 08:27:08] NOTICE[4096][C-00000092] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=b864db92 (50.7.255.132:5074)
[2013-11-25 08:33:57] NOTICE[4096][C-00000093] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=845fe5c7 (198.27.87.224:5071)
[2013-11-25 08:40:10] NOTICE[4096][C-00000094] chan_sip.c: Failed to authenticate device 1006<sip:1006@мой-IP>;tag=50cc3037 (50.7.255.132:5070)
[2013-11-25 08:51:23] NOTICE[4096][C-00000095] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=6cdb05c5 (198.27.87.224:5076)
[2013-11-25 08:53:50] NOTICE[4096][C-00000096] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=82449a32 (50.7.255.132:5076)
[2013-11-25 09:07:16] NOTICE[4096][C-00000097] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=cda428b3 (50.7.255.132:5078)
[2013-11-25 09:09:18] NOTICE[4096][C-00000098] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=494276db (198.27.87.224:5073)
[2013-11-25 09:20:51] NOTICE[4096][C-00000099] chan_sip.c: Failed to authenticate device 1007<sip:1007@мой-IP>;tag=75017884 (50.7.255.132:5070)
[2013-11-25 09:27:03] NOTICE[4096][C-0000009a] chan_sip.c: Failed to authenticate device 1002<sip:1002@мой-IP>;tag=16d86edb (198.27.87.224:5076)
т.е. поочередно меняют ip адрес на запрос. Fail2ban банит в случае, если больше 2x запросов с одного ip по порядку. Как заставить его отправлять в бан это?
Проверять
fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
Задан: 2013-11-25 11:26:48 +0400
Просмотрен: 794 раз
Обновлен: Nov 25 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
Для каждой версии астериска есть свои настройки fail2ban'a. Ищите...
Out ( 2013-11-25 11:57:15 +0400 )редактироватьпричем здесь версия астера. Я собирал все вручную. Логи то есть, правила в Fail2ban есть, но не банит он это, как заставить его, уже вручную добавил эти адреса в iptables, вот так: iptables -A INPUT -s 198.27.87.224 -j DROP iptables -A INPUT -s 198.27.87.224 -j REJECT все равно пускает
manchelsi ( 2013-11-25 12:01:53 +0400 )редактироватьМожете и ногами собрать... вывод в логи у разных версий астериска отличается
fail2ban'y надо верный лог скормить
Ищите поиском по "fail2ban не банит адрес 127.0.0.1"
Инфа по версиям: http://www.fail2ban.org/wiki/index.php/Asterisk
Out ( 2013-11-25 12:51:55 +0400 )редактироватьДа знаю. До этого в логах при этом запросе вообще мой ip адрес отображался, лог привел к данному виду только после пересборки chan_sip.so, сейчас хоть вижу левые адреса. Вообщем копаю в правилах fail2ban, тестирую сижу. Как назло брутить с этих адресов стали в 3 раза реже.
manchelsi ( 2013-11-25 13:27:30 +0400 )редактировать