Password bzw. Login Hacker

Kleine Tricks und Tips, wie man besondere Sachen lösen kann.

Moderatoren: rainer, Tim

Antworten
Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Password bzw. Login Hacker

Beitrag von rainer » Mi 17. Nov 2010, 23:04

Hi ...

ich habe jetzt auf meinem Asterisk fail2ban installiert ...

Wenn sich jemand auf dem port 5060 3mal falsch anmeldet ...
dann wird seine IP für 1Std. durch fail2ban via iptables geblockt.

Ich habe hier ca. 10 bis 20 Login/Password-Hack Versuche pro Tag :cry:

hier die Anleitung:
http://www.voip-info.org/wiki/view/Fail ... d+Asterisk

Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10

Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von rainer » Do 18. Nov 2010, 22:01

Heute 19.11.2010 um 6:50Uhr ... wo ist mein Knoppers
und so sieht die Meldung von fail2ban aus wenn jemand aus China versucht sich am Asterisk anzumelden ... :lol:

The IP 219.150.200.162 has just been banned by Fail2Ban after
3 attempts against ASTERISK.


Here are more information about 219.150.200.162:

% [whois.apnic.net node-1]

inetnum: 219.150.112.0 - 219.150.255.255
netname: CHINANET-HA
descr: CHINANET henan province network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: HZ149-AP
tech-c: HZ149-AP
status: ALLOCATED NON-PORTABLE
changed: ipadmin@north.cn.net 20060515
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HA
mnt-routes: MAINT-CHINANET-HA
source: APNIC

irt: IRT-APNIC-AP
address: Brisbane, Australia
e-mail: helpdesk@apnic.net
abuse-mailbox: abuse@apnic.net
admin-c: HM20-AP
tech-c: NO4-AP
auth: MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks: APNIC is a Regional Internet Registry.
remarks: We do not operate the referring network and
remarks: is unable to investigate complaints of network abuse.
remarks: For more information, see http://www.apnic.net/irt
mnt-by: APNIC-HM
changed: hm-changed@apnic.net 20101111
source: APNIC

person: Hongbiao Zhang
nic-hdl: HZ149-AP
e-mail: ip@hntele.com
address: 97# Zhongyuan Street, Zhengzhou City, China
phone: +86 371 65310018
fax-no: +86 371 65310015
country: CN
changed: zhb@hntele.com 20060511
mnt-by: MAINT-CHINANET-HA
source: APNIC

Regards,

Fail2Ban
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10

Benutzeravatar
Tim
Administrator
Beiträge: 148
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von Tim » Mi 1. Dez 2010, 07:38

Ich finde Fail2Ban ist ein echt gutes Tool.

Der Asterisk-Filter gestaltet sich recht einfach (/etc/fail2ban/filter.d/asterisk.conf):

Code: Alles auswählen

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* <HOST> failed to authenticate as '.*'$
In der Jail-Konfiguration nur noch einbinden (/etc/fail2ban/jail.conf):

Code: Alles auswählen

[asterisk]
enabled  = true
filter   = asterisk
action   = iptables[name=ASTERISK, port=sip, protocol=udp]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@localhost]
logpath  = /var/log/asterisk/messages
maxretry = 2
bantime  = 3600 # 1 Stunde (in Sekunden)
In der Asterisk Logger-Konfiguration (/etc/asterisk/logger.conf):

Code: Alles auswählen

[general]
dateformat=%F %T
[logfiles]
messages => notice,warning,error
Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Wheezy x86_64
Asterisk 13.5.0 mit JNET-DAHDI 1.0.14
Junghanns QuardBRI, TDM400P
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 10 GB DDR3 RAM -- 2 TB SATA2 HDD Space

Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von rainer » Fr 3. Dez 2010, 09:10

Hallo Tim,

in meiner /etc/fail2ban/filter.d/asterisk.conf wird noch mehr gefiltert.
Wichtig finde ich den Filter "Device does not match ACL" der bei dir fehlt.
Auf meinem Asterisk gibt es SIP Konten die durch ACLs zusätzlich geprüft werden.
Meine Grandstreams haben ein ACL Bedingung (nur LAN erlauben)
/etc/asterisk/sip.conf

Code: Alles auswählen

deny=0.0.0.0/0.0.0.0
permit=192.168.8.0/24
Mein Base Handy hat die ACL Bedingung (nur aus dem Base IP-Bereich)

Code: Alles auswählen

deny=0.0.0.0/0.0.0.0
permit=212.23.96.0/19
permit=92.117.14.0/19
permit=92.116.0.0/15
permit=192.168.8.0/24   ; mein LAN-IP-Bereich
permit=192.168.1.0/24   ; mein WLAN-IP-Bereich
/etc/fail2ban/filter.d/asterisk.conf

Code: Alles auswählen

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
und in der jail.conf von fail2ban gehe ich noch einen schritt weiter.
Mit iptables-allports ... blocke ich für den Passwort Hacker den ganzen Server. ;-)
/etc/fail2ban/jail.conf

Code: Alles auswählen

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/messages
maxretry = 5
bantime = 259200
Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10

Benutzeravatar
Tim
Administrator
Beiträge: 148
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von Tim » Mo 6. Dez 2010, 08:09

Hallo Rainer,

ich verwende keine ACLs, drum hab ich das bei mir nicht drin, aber du hast Recht, wenn man das verwendet, sollte man diese LOG-Einträge mit beachten.

Ich denke, das mit dem ALLPORTS oder nur einzelne Ports ist "geschmackssache" und auch nach dem Anwendungsfall zu betrachten. Es kann beides sinnvoll sein meiner Meinung nach.

Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Wheezy x86_64
Asterisk 13.5.0 mit JNET-DAHDI 1.0.14
Junghanns QuardBRI, TDM400P
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 10 GB DDR3 RAM -- 2 TB SATA2 HDD Space

Benutzeravatar
rainer
Profi
Beiträge: 183
Registriert: Di 17. Nov 2009, 20:18
Wohnort: Bonn
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von rainer » Fr 25. Feb 2011, 09:47

Nach meinem update auf 1.8.2.4 hat bei mir fail2ban nicht mehr geblockt ...

Grund:
Der Asterisk 1.8 schreibt jetzt auch den SourcePort in die Log Datei. siehe Beispiel "192.168.0.100:31434"

Beispiel aus der Asterisk 1.8 Log Datei:
Feb 20 18:30:40 localhost asterisk[32229]: NOTICE[32257]: chan_sip.c:23417 in handle_request_register: Registration from 'XXXXXXXXXXXXXXXXX' failed for '192.168.0.100:31434' - Wrong password

Hier die neue REGEX für Asterisk 1.8:

Code: Alles auswählen

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register 
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10

Louis
Anfänger
Beiträge: 1
Registriert: Do 2. Jun 2011, 13:44

Re: Password bzw. Login Hacker

Beitrag von Louis » Do 2. Jun 2011, 13:45

Sehr gute Tipps. Werde ich auch mal anwenden.

Benutzeravatar
Tim
Administrator
Beiträge: 148
Registriert: Sa 1. Nov 2008, 00:02
Wohnort: Freilassing / Oberbayern / Deutschland
Kontaktdaten:

Re: Password bzw. Login Hacker

Beitrag von Tim » Mo 14. Sep 2015, 08:02

Hallo Rainer,

es ist zwar schon etwas her, aber ich habe es jetzt akut gebraucht, dabei ist mir aufgefallen, dass sich die runde Klammer auf die falsche Seite verirrt hat. Die Klamme muss, zumindest damit es bei mir funktioniert nach dem Doppelpunkt stehen.

Code: Alles auswählen

Registration from '.*' failed for '<HOST>:([0-9]{1,5})?' - Wrong password
Gruß
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007

Debian Wheezy x86_64
Asterisk 13.5.0 mit JNET-DAHDI 1.0.14
Junghanns QuardBRI, TDM400P
SNOM 370, SNOM M3 & Grandstream GXP2000

AMD Athlon II X4 605e -- 10 GB DDR3 RAM -- 2 TB SATA2 HDD Space

Antworten