Seite 1 von 1

Password bzw. Login Hacker

Verfasst: Mi 17. Nov 2010, 23:04
von rainer
Hi ...

ich habe jetzt auf meinem Asterisk fail2ban installiert ...

Wenn sich jemand auf dem port 5060 3mal falsch anmeldet ...
dann wird seine IP für 1Std. durch fail2ban via iptables geblockt.

Ich habe hier ca. 10 bis 20 Login/Password-Hack Versuche pro Tag :cry:

hier die Anleitung:
http://www.voip-info.org/wiki/view/Fail ... d+Asterisk

Gruß
Rainer

Re: Password bzw. Login Hacker

Verfasst: Do 18. Nov 2010, 22:01
von rainer
Heute 19.11.2010 um 6:50Uhr ... wo ist mein Knoppers
und so sieht die Meldung von fail2ban aus wenn jemand aus China versucht sich am Asterisk anzumelden ... :lol:

The IP 219.150.200.162 has just been banned by Fail2Ban after
3 attempts against ASTERISK.


Here are more information about 219.150.200.162:

% [whois.apnic.net node-1]

inetnum: 219.150.112.0 - 219.150.255.255
netname: CHINANET-HA
descr: CHINANET henan province network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: HZ149-AP
tech-c: HZ149-AP
status: ALLOCATED NON-PORTABLE
changed: ipadmin@north.cn.net 20060515
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HA
mnt-routes: MAINT-CHINANET-HA
source: APNIC

irt: IRT-APNIC-AP
address: Brisbane, Australia
e-mail: helpdesk@apnic.net
abuse-mailbox: abuse@apnic.net
admin-c: HM20-AP
tech-c: NO4-AP
auth: MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks: APNIC is a Regional Internet Registry.
remarks: We do not operate the referring network and
remarks: is unable to investigate complaints of network abuse.
remarks: For more information, see http://www.apnic.net/irt
mnt-by: APNIC-HM
changed: hm-changed@apnic.net 20101111
source: APNIC

person: Hongbiao Zhang
nic-hdl: HZ149-AP
e-mail: ip@hntele.com
address: 97# Zhongyuan Street, Zhengzhou City, China
phone: +86 371 65310018
fax-no: +86 371 65310015
country: CN
changed: zhb@hntele.com 20060511
mnt-by: MAINT-CHINANET-HA
source: APNIC

Regards,

Fail2Ban

Re: Password bzw. Login Hacker

Verfasst: Mi 1. Dez 2010, 07:38
von Tim
Ich finde Fail2Ban ist ein echt gutes Tool.

Der Asterisk-Filter gestaltet sich recht einfach (/etc/fail2ban/filter.d/asterisk.conf):

Code: Alles auswählen

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* <HOST> failed to authenticate as '.*'$
In der Jail-Konfiguration nur noch einbinden (/etc/fail2ban/jail.conf):

Code: Alles auswählen

[asterisk]
enabled  = true
filter   = asterisk
action   = iptables[name=ASTERISK, port=sip, protocol=udp]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@localhost]
logpath  = /var/log/asterisk/messages
maxretry = 2
bantime  = 3600 # 1 Stunde (in Sekunden)
In der Asterisk Logger-Konfiguration (/etc/asterisk/logger.conf):

Code: Alles auswählen

[general]
dateformat=%F %T
[logfiles]
messages => notice,warning,error
Grüße
Tim

Re: Password bzw. Login Hacker

Verfasst: Fr 3. Dez 2010, 09:10
von rainer
Hallo Tim,

in meiner /etc/fail2ban/filter.d/asterisk.conf wird noch mehr gefiltert.
Wichtig finde ich den Filter "Device does not match ACL" der bei dir fehlt.
Auf meinem Asterisk gibt es SIP Konten die durch ACLs zusätzlich geprüft werden.
Meine Grandstreams haben ein ACL Bedingung (nur LAN erlauben)
/etc/asterisk/sip.conf

Code: Alles auswählen

deny=0.0.0.0/0.0.0.0
permit=192.168.8.0/24
Mein Base Handy hat die ACL Bedingung (nur aus dem Base IP-Bereich)

Code: Alles auswählen

deny=0.0.0.0/0.0.0.0
permit=212.23.96.0/19
permit=92.117.14.0/19
permit=92.116.0.0/15
permit=192.168.8.0/24   ; mein LAN-IP-Bereich
permit=192.168.1.0/24   ; mein WLAN-IP-Bereich
/etc/fail2ban/filter.d/asterisk.conf

Code: Alles auswählen

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
            NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
            NOTICE.* <HOST> failed to authenticate as '.*'$
            NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
            NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
            NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
und in der jail.conf von fail2ban gehe ich noch einen schritt weiter.
Mit iptables-allports ... blocke ich für den Passwort Hacker den ganzen Server. ;-)
/etc/fail2ban/jail.conf

Code: Alles auswählen

[asterisk-iptables]

enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath  = /var/log/asterisk/messages
maxretry = 5
bantime = 259200
Gruß
Rainer

Re: Password bzw. Login Hacker

Verfasst: Mo 6. Dez 2010, 08:09
von Tim
Hallo Rainer,

ich verwende keine ACLs, drum hab ich das bei mir nicht drin, aber du hast Recht, wenn man das verwendet, sollte man diese LOG-Einträge mit beachten.

Ich denke, das mit dem ALLPORTS oder nur einzelne Ports ist "geschmackssache" und auch nach dem Anwendungsfall zu betrachten. Es kann beides sinnvoll sein meiner Meinung nach.

Grüße
Tim

Re: Password bzw. Login Hacker

Verfasst: Fr 25. Feb 2011, 09:47
von rainer
Nach meinem update auf 1.8.2.4 hat bei mir fail2ban nicht mehr geblockt ...

Grund:
Der Asterisk 1.8 schreibt jetzt auch den SourcePort in die Log Datei. siehe Beispiel "192.168.0.100:31434"

Beispiel aus der Asterisk 1.8 Log Datei:
Feb 20 18:30:40 localhost asterisk[32229]: NOTICE[32257]: chan_sip.c:23417 in handle_request_register: Registration from 'XXXXXXXXXXXXXXXXX' failed for '192.168.0.100:31434' - Wrong password

Hier die neue REGEX für Asterisk 1.8:

Code: Alles auswählen

Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register 

Re: Password bzw. Login Hacker

Verfasst: Do 2. Jun 2011, 13:45
von Louis
Sehr gute Tipps. Werde ich auch mal anwenden.

Re: Password bzw. Login Hacker

Verfasst: Mo 14. Sep 2015, 08:02
von Tim
Hallo Rainer,

es ist zwar schon etwas her, aber ich habe es jetzt akut gebraucht, dabei ist mir aufgefallen, dass sich die runde Klammer auf die falsche Seite verirrt hat. Die Klamme muss, zumindest damit es bei mir funktioniert nach dem Doppelpunkt stehen.

Code: Alles auswählen

Registration from '.*' failed for '<HOST>:([0-9]{1,5})?' - Wrong password
Gruß
Tim