Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

Взлом Asteriska или что это ?

0

Добрый день.

Используется Asterisk 1.8; freepbx 2.11.0.43 Asterisk находится за nat, поэтому проброшен udp порт 5060 и udp диапозон 10000:20000

В логах (full) увидел попытку регистраций несуществующих у нас внутренних номеров (примерно 1 раз в 30 секунд).

[2017-05-22 10:02:18] NOTICE[1462] chan_sip.c: Registration from '"1121 <sip:1121@Внешний_IP>' failed for '212.83.134.244:7461' - Wrong password

[2017-05-22 10:03:13] NOTICE[1462] chan_sip.c: Registration from '"1150 <sip:1150@Внешний_IP>' failed for '212.83.134.244:7524' - Wrong password

[2017-05-22 10:04:10] NOTICE[1462] chan_sip.c: Registration from '"1154 <sip:1154@Внешний_IP>' failed for '212.83.134.244:7547' - Wrong password

[2017-05-22 10:04:17] NOTICE[1462] chan_sip.c: Registration from '"1130 <sip:1130@Внешний_IP>' failed for '212.83.134.244:7480' - Wrong password

[2017-05-22 10:04:42] NOTICE[1462] chan_sip.c: Registration from '"1140"<sip:1140@Внешний_IP>' failed for '212.83.134.244:7513' - Wrong password

[2017-05-22 10:07:48] NOTICE[1462] chan_sip.c: Registration from '"1173"<sip:1173@Внешний_IP>' failed for '212.83.134.244:7587' - Wrong password

Затем пытались зарегистрировать номера 0000 и 1000 уже на другой адрес назначения. Теперь уже по 2000 попыток в минуту.

[2017-05-22 10:38:20] NOTICE[1462] chan_sip.c: Registration from '"1000 <sip:1000@Внешний_IP>' failed for '46.165.243.200:5379' - Wrong password

Перебирались разные номера и порты сервера назначения. Я отключил проброс портов 5060 и 10000:20000. Попытки регистрации утихли, затем вовсе пропали.

[2017-05-22 10:49:46] WARNING[3823] Ext. s: "Rejecting unknown SIP connection from 144.217.66.185"
[2017-05-22 10:52:29] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7591' - Wrong password
[2017-05-22 10:58:43] NOTICE[1462] chan_sip.c: Registration from '"1141"<sip:1141@Внешний_IP>' failed for '212.83.134.244:7511' - Wrong password
[2017-05-22 11:03:38] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7596' - Wrong password
[2017-05-22 11:07:05] NOTICE[1462] chan_sip.c: Registration from '"1194"<sip:1194@Внешний_IP>' failed for '212.83.134.244:7628' - Wrong password
[2017-05-22 11:10:31] NOTICE[1462] chan_sip.c: Registration from '"1204"<sip:1204@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password
[2017-05-22 11:14:39] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7596' - Wrong password
[2017-05-22 11:17:30] WARNING[4266] Ext. s: "Rejecting unknown SIP connection from 144.217.66.185"
[2017-05-22 11:29:35] NOTICE[1462] chan_sip.c: Registration from '"1151"<sip:1151@Внешний_IP>' failed for '212.83.134.244:7537' - Wrong password
[2017-05-22 12:06:30] NOTICE[1462] chan_sip.c: Registration from '"1205"<sip:1205@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password
[2017-05-22 13:24:51] NOTICE[1462] chan_sip.c: Registration from '"1206"<sip:1206@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password

Если правильно понимаю то нас хотели взломать (поправьте если не так), но не понятно одно: после отключения проброса портов попытки остались (пусть и немного), не понимаю как ?

удалить закрыть спам изменить тег редактировать

спросил 2017-05-24 11:39:51 +0400

Denis96 Gravatar Denis96
1 1

Comments

да вас ломали ..... попытки остаются , потому что на роутере еще "Живы" открытые сессии от старых попыток , вот по ним и ломились , пока эти сесии не "умерли" по тайм оуту ;-)

april22 ( 2017-05-24 12:58:03 +0400 )редактировать

Спасибо за ответ

Denis96 ( 2017-05-24 16:50:10 +0400 )редактировать

или ваш роутер вообще перезагрзуки требует.

meral ( 2017-05-27 17:17:27 +0400 )редактировать

1 Ответ

2

Это не ответ на вопрос, но поможет бороться с подобным. Можно использовать fail2ban (в Интернет есть готовые настройки для Asterisk и sshd). Это позволит автоматически блокировать IP адреса атакующего.

ссылка удалить спам редактировать

ответил 2017-07-27 15:40:38 +0400

Ankabut Gravatar Ankabut
31 3 2 6

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2017-05-24 11:39:51 +0400

Просмотрен: 359 раз

Обновлен: Jul 27 '17

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.