en une ligne:
Code:iptables -A INPUT -p udp -m string --string "sipvicious" --algo bm --to 300 -m udp --dport 5060 -j DROP
et bye bye sipvicious.....
en une ligne:
Code:iptables -A INPUT -p udp -m string --string "sipvicious" --algo bm --to 300 -m udp --dport 5060 -j DROP
et bye bye sipvicious.....
C'est moins rigolo et nous aimons les expressions régulières
et puis ça évolue vite (d'ailleurs le sipvicous, n'est pas toujours sipvisious) . Au moins là ... mais y' bien d'autres méthodes.
:-) :-) :-) :-) :-) j'aime bien ta réponse...
+ sérieusement, j'ai tous les noms des scanners rentrés dans mes iptables, et j'ai jeté fail2ban à la poubelle.... enfin, qd meme pas, mais il n'intercepte jamais rien... alors que mes iptables choppent 3-4 scanners / jour
la "beauté" de ces filtres iptables, c'est que le scanner ne voit meme pas le serveur voip... alors que f2b lui révèle (avec ton script, seulement sur le premier serveur attaqué).
je peux faire parvenir l'ensemble des signatures que j'ai en PM, j'ai pas trop envie de trop distribuer, sinon elles vont évoluer !
Tout ça est très bien mais suite à pas mal d'audits sur des serveurs ayant eu des
cracks importants, sauf quelques rares cas de serveurs mal configurés, 9 fois sur 10 un bon hacker arrive avec tout ce qu'il faut pour utiliser le compte
ayant déjà collecté les infos coté point faible, l'utilisateur,
j'ai publié il y à quelques mois un code pour hacker les audiocodes avec 50% de réussite.
Bricolez un petit
robot (même pas dur a faire) pour scanner des ranges d'ip en permanence
ou mieux (mais légèrement plus complexe) le distribuer le sous forme de Virus :-) et vous pouvez scanner le monde et obtenir des comptes valides frais chaque matin en vous levant :-)
pas franchement compris ta réponse...
bien sur, l'utilisateur est un point faible (nous serions tous plus heureux sans utilisateurs... ou pas !). C'est pour ca que certains soft, comme freepbx ont des modules de détection de password faibles
en revanche, bien sur que c'est simple de scanner... mais avec un bon iptables et un fail2ban, un scanner sans relation avec un utilisateur a du mal rentrer
Salut à tous
Je reviens sur le sujet des scanners... ce thread a 15 mois si je ne trompe, et j'étais à 3-4 scans par jour... je suis maintenant à 10-15 robots par jour qui essaient de scanner mes ips... (par ip)
Est ce que vous aussi, vous avez constaté une augmentation du nombre de scans ?
J.
Sécurisez votre asterisk, lisez ce post du forum: http://www.asterisk-france.org/showt...-recapitulatif et votre patton: http://www.asterisk-france.org/threa...tage-via-tiers - comprenez le nat : http://www.asterisk-france.org/threa...dio-pas-de-son
Je regarde meme plus les logs de scans 5060 vu qu'il n'y aucune chance que le hack puisse avoir lieu par la sur mes installs.
Pour les extensions locales , l'authentification n'est de plus autorisée que depuis le subnet local juste au cas ou...Les extensions remotes , seulement de l'ip prevue.
Pour debuter ( on voit souvent le contexte defaut utilisé pour tout...), il est vraiment conseiller de ne pas laisser le port sip ouvert à tous avec un systeme de liste blanche ou meme tout fermer en s'amusant en local.
Mais oui, les logs montre que le port 5060 est de plus en plus scanné. Le changer n'est pas vraiment plus safe, mais au moins limite les probabilités de scans.
Fastm3.
Perso pas le choix puisque j'exploite et entretient des switch online
ce que je fais en général c'est évaluer les clients susceptibles de s'y connecter
fai, pays ou mieux ip fixe et je bloque tout le reste sur Iptables.
Refus des forward anonymes et quand j'en ai besoin je crée un pseudo trunk.
Avec ces quelques règles les scan SIP et tentatives sont devenus assez rares.