Добрый день.
Используется Asterisk 1.8; freepbx 2.11.0.43 Asterisk находится за nat, поэтому проброшен udp порт 5060 и udp диапозон 10000:20000
В логах (full) увидел попытку регистраций несуществующих у нас внутренних номеров (примерно 1 раз в 30 секунд).
[2017-05-22 10:02:18] NOTICE[1462] chan_sip.c: Registration from '"1121 <sip:1121@Внешний_IP>' failed for '212.83.134.244:7461' - Wrong password
[2017-05-22 10:03:13] NOTICE[1462] chan_sip.c: Registration from '"1150 <sip:1150@Внешний_IP>' failed for '212.83.134.244:7524' - Wrong password
[2017-05-22 10:04:10] NOTICE[1462] chan_sip.c: Registration from '"1154 <sip:1154@Внешний_IP>' failed for '212.83.134.244:7547' - Wrong password
[2017-05-22 10:04:17] NOTICE[1462] chan_sip.c: Registration from '"1130 <sip:1130@Внешний_IP>' failed for '212.83.134.244:7480' - Wrong password
[2017-05-22 10:04:42] NOTICE[1462] chan_sip.c: Registration from '"1140"<sip:1140@Внешний_IP>' failed for '212.83.134.244:7513' - Wrong password
[2017-05-22 10:07:48] NOTICE[1462] chan_sip.c: Registration from '"1173"<sip:1173@Внешний_IP>' failed for '212.83.134.244:7587' - Wrong password
Затем пытались зарегистрировать номера 0000 и 1000 уже на другой адрес назначения. Теперь уже по 2000 попыток в минуту.
[2017-05-22 10:38:20] NOTICE[1462] chan_sip.c: Registration from '"1000 <sip:1000@Внешний_IP>' failed for '46.165.243.200:5379' - Wrong password
Перебирались разные номера и порты сервера назначения. Я отключил проброс портов 5060 и 10000:20000. Попытки регистрации утихли, затем вовсе пропали.
[2017-05-22 10:49:46] WARNING[3823] Ext. s: "Rejecting unknown SIP connection from 144.217.66.185"
[2017-05-22 10:52:29] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7591' - Wrong password
[2017-05-22 10:58:43] NOTICE[1462] chan_sip.c: Registration from '"1141"<sip:1141@Внешний_IP>' failed for '212.83.134.244:7511' - Wrong password
[2017-05-22 11:03:38] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7596' - Wrong password
[2017-05-22 11:07:05] NOTICE[1462] chan_sip.c: Registration from '"1194"<sip:1194@Внешний_IP>' failed for '212.83.134.244:7628' - Wrong password
[2017-05-22 11:10:31] NOTICE[1462] chan_sip.c: Registration from '"1204"<sip:1204@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password
[2017-05-22 11:14:39] NOTICE[1462] chan_sip.c: Registration from '"1174"<sip:1174@Внешний_IP>' failed for '212.83.134.244:7596' - Wrong password
[2017-05-22 11:17:30] WARNING[4266] Ext. s: "Rejecting unknown SIP connection from 144.217.66.185"
[2017-05-22 11:29:35] NOTICE[1462] chan_sip.c: Registration from '"1151"<sip:1151@Внешний_IP>' failed for '212.83.134.244:7537' - Wrong password
[2017-05-22 12:06:30] NOTICE[1462] chan_sip.c: Registration from '"1205"<sip:1205@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password
[2017-05-22 13:24:51] NOTICE[1462] chan_sip.c: Registration from '"1206"<sip:1206@Внешний_IP>' failed for '212.83.134.244:7655' - Wrong password
Если правильно понимаю то нас хотели взломать (поправьте если не так), но не понятно одно: после отключения проброса портов попытки остались (пусть и немного), не понимаю как ?
Это не ответ на вопрос, но поможет бороться с подобным. Можно использовать fail2ban (в Интернет есть готовые настройки для Asterisk и sshd). Это позволит автоматически блокировать IP адреса атакующего.
Задан: 2017-05-24 11:39:51 +0400
Просмотрен: 366 раз
Обновлен: Jul 27 '17
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
да вас ломали ..... попытки остаются , потому что на роутере еще "Живы" открытые сессии от старых попыток , вот по ним и ломились , пока эти сесии не "умерли" по тайм оуту ;-)
april22 ( 2017-05-24 12:58:03 +0400 )редактироватьСпасибо за ответ
Denis96 ( 2017-05-24 16:50:10 +0400 )редактироватьили ваш роутер вообще перезагрзуки требует.
meral ( 2017-05-27 17:17:27 +0400 )редактировать