Securité

**Comdif** · 03/04/2011, 01h33

Alors la trop fort le nouveau type de hack
16 tentatives avec IP non signée donc même pas possible de faire une regle F2ban

Je sais pas ce que reçoit le hacker en écho mais a 17em tentative il appel sans problèmes.
Vraiment des morts de faim, tout ça pour appeler un méchant numéro spécial mal rémunéré (normal j'ai bloqué tout ce qui dépasse les 20 cents)

Apr 2 17:49:14 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.com' rejected because extension not found.
Apr 2 17:49:15 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.com' rejected because extension not found.
Apr 2 17:49:16 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxx' rejected because extension not found.
Apr 2 17:49:16 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxx' rejected because extension not found.
Apr 2 17:49:16 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEt' rejected because extension not found.
Apr 2 17:49:16 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEt' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peer' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=very' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peer' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=very' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxx' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxx' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxxqualify= no' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxxqualify= no' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxxqualify= nonat=yes' rejected because extension not found.
Apr 2 17:49:17 ns asterisk[15742]: NOTICE[15757]: chan_sip.c:15146 in handle_request_invite: Call from 'xxxx' to extension 'host=domain.comusername=xxxxsecret=SupxXEr10-*SecrEttype=peerinsecure=veryfromuser=xxxxqualify= nonat=yes' rejected because extension not found.

Une idée sur la méthode ?

pour ma part je pense ne plus prendre de comptes clients sans IP fixe, les comptes login/password c'est ingérable

**Reaper** · 03/04/2011, 02h22

La prochaine fous capture avec tcpdump, il est possible qu'il exploite une faille de sipstack asterisk.

**jpramoul** · 08/04/2011, 12h09

Quelle version de Asterisk ?

**Comdif** · 08/04/2011, 14h07

1.4.33, du coup j'ai upgradé sur le dernier 1.4.41
plus une armada de script, que même moi si ça continu
j'arriverais plus à accéder à mon switch.

En tout cas plus d'attaque et des logs clean.

Je me demande bien comment font les centaines de millier d'exploitants de serveurs sip à travers le monde quand je vois la complexité à sécuriser ces serveurs et le niveau des attaques actuelles.

Pour info il faut environ 15 minutes maxi pour qu'une IP avec un serveur sip
soit repérée et scannée.

**Reaper** · 08/04/2011, 14h16

Avec du temps je suis devenu méticuleux, des pare feux partout, si j'ai des travailleurs distants j'installe vpn en udp, plus de souci depuis.

**alternatiq** · 08/04/2011, 15h29

moi j'ai arrêté d'ouvrir le 5060, la dernière experience m'a coûté 3500 € de comm vers Cuba en 24 h, j'étais même provider car ils avaient trouver un compte + PWD ...

**Comdif** · 08/04/2011, 16h38

Mobile du SIP Hacking pou info

-Le premier et le moins pire c'est un apprenti hacker tout fier de pouvoir passer
quelques coups de fil gratos

-Le second plus gênant et cher votre ligne sert carrément de terminaison d'appel, tant que ça fonctionne à un opérateur sans scrupules.
Si vous utilisez un trunk prépayé vous ne risquez que de perdre tout votre
crédit, tout dépend du nombre de channels dont vous disposez, l'utilisation
de la route et le temps que vous mettez à vous en apercevoir.

-Le troisième encore plus gênant et cher votre ligne sert à des appels en masse
vers un "premium rates number", le hacker à signé avec un provider de numéros surtaxés sans scrupule, il y en a des tas !
Il suffit d'envoyer d'un coup le maximum d'appels vers un numéro en utilisant votre compte jusqu'au raccroché.
Alors la si vous avez un trunk sans limite de channels ça coûte très très cher
et même si votre compte est prépayé, car aucun provider à ce jour n'est capable de calculer en live le crédit lors des appels en cours
et donc si vous avez 50€ de crédit ils servirons de référence autant au premier
appel qu'au dernier, ce qui veux dire que 10 appels lancés vont raccrochés
avec une ardoise pour vous de 450€.
Si vous êtes en plus en mode post-pay et que le cirque dure toute la nuit
imaginez la facture au réveil !

Discussion: Securité

Outils de la discussion

Rechercher dans la discussion

Affichage

Securité

A propos

Règles de messages