Password bzw. Login Hacker
Password bzw. Login Hacker
Hi ...
ich habe jetzt auf meinem Asterisk fail2ban installiert ...
Wenn sich jemand auf dem port 5060 3mal falsch anmeldet ...
dann wird seine IP für 1Std. durch fail2ban via iptables geblockt.
Ich habe hier ca. 10 bis 20 Login/Password-Hack Versuche pro Tag
hier die Anleitung:
http://www.voip-info.org/wiki/view/Fail ... d+Asterisk
Gruß
Rainer
ich habe jetzt auf meinem Asterisk fail2ban installiert ...
Wenn sich jemand auf dem port 5060 3mal falsch anmeldet ...
dann wird seine IP für 1Std. durch fail2ban via iptables geblockt.
Ich habe hier ca. 10 bis 20 Login/Password-Hack Versuche pro Tag
hier die Anleitung:
http://www.voip-info.org/wiki/view/Fail ... d+Asterisk
Gruß
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Re: Password bzw. Login Hacker
Heute 19.11.2010 um 6:50Uhr ... wo ist mein Knoppers
und so sieht die Meldung von fail2ban aus wenn jemand aus China versucht sich am Asterisk anzumelden ...
The IP 219.150.200.162 has just been banned by Fail2Ban after
3 attempts against ASTERISK.
Here are more information about 219.150.200.162:
% [whois.apnic.net node-1]
inetnum: 219.150.112.0 - 219.150.255.255
netname: CHINANET-HA
descr: CHINANET henan province network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: HZ149-AP
tech-c: HZ149-AP
status: ALLOCATED NON-PORTABLE
changed: ipadmin@north.cn.net 20060515
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HA
mnt-routes: MAINT-CHINANET-HA
source: APNIC
irt: IRT-APNIC-AP
address: Brisbane, Australia
e-mail: helpdesk@apnic.net
abuse-mailbox: abuse@apnic.net
admin-c: HM20-AP
tech-c: NO4-AP
auth: MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks: APNIC is a Regional Internet Registry.
remarks: We do not operate the referring network and
remarks: is unable to investigate complaints of network abuse.
remarks: For more information, see http://www.apnic.net/irt
mnt-by: APNIC-HM
changed: hm-changed@apnic.net 20101111
source: APNIC
person: Hongbiao Zhang
nic-hdl: HZ149-AP
e-mail: ip@hntele.com
address: 97# Zhongyuan Street, Zhengzhou City, China
phone: +86 371 65310018
fax-no: +86 371 65310015
country: CN
changed: zhb@hntele.com 20060511
mnt-by: MAINT-CHINANET-HA
source: APNIC
Regards,
Fail2Ban
und so sieht die Meldung von fail2ban aus wenn jemand aus China versucht sich am Asterisk anzumelden ...
The IP 219.150.200.162 has just been banned by Fail2Ban after
3 attempts against ASTERISK.
Here are more information about 219.150.200.162:
% [whois.apnic.net node-1]
inetnum: 219.150.112.0 - 219.150.255.255
netname: CHINANET-HA
descr: CHINANET henan province network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032
country: CN
admin-c: HZ149-AP
tech-c: HZ149-AP
status: ALLOCATED NON-PORTABLE
changed: ipadmin@north.cn.net 20060515
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-HA
mnt-routes: MAINT-CHINANET-HA
source: APNIC
irt: IRT-APNIC-AP
address: Brisbane, Australia
e-mail: helpdesk@apnic.net
abuse-mailbox: abuse@apnic.net
admin-c: HM20-AP
tech-c: NO4-AP
auth: MD5-PW $1$4Xs0dCYW$2n3kQaMpxGmUyAcaKYaui/
remarks: APNIC is a Regional Internet Registry.
remarks: We do not operate the referring network and
remarks: is unable to investigate complaints of network abuse.
remarks: For more information, see http://www.apnic.net/irt
mnt-by: APNIC-HM
changed: hm-changed@apnic.net 20101111
source: APNIC
person: Hongbiao Zhang
nic-hdl: HZ149-AP
e-mail: ip@hntele.com
address: 97# Zhongyuan Street, Zhengzhou City, China
phone: +86 371 65310018
fax-no: +86 371 65310015
country: CN
changed: zhb@hntele.com 20060511
mnt-by: MAINT-CHINANET-HA
source: APNIC
Regards,
Fail2Ban
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
- Tim
- Administrator
- Beiträge: 160
- Registriert: Sa 1. Nov 2008, 00:02
- Wohnort: Freilassing / Oberbayern / Deutschland
- Kontaktdaten:
Re: Password bzw. Login Hacker
Ich finde Fail2Ban ist ein echt gutes Tool.
Der Asterisk-Filter gestaltet sich recht einfach (/etc/fail2ban/filter.d/asterisk.conf):
In der Jail-Konfiguration nur noch einbinden (/etc/fail2ban/jail.conf):
In der Asterisk Logger-Konfiguration (/etc/asterisk/logger.conf):
Grüße
Tim
Der Asterisk-Filter gestaltet sich recht einfach (/etc/fail2ban/filter.d/asterisk.conf):
Code: Alles auswählen
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* <HOST> failed to authenticate as '.*'$
Code: Alles auswählen
[asterisk]
enabled = true
filter = asterisk
action = iptables[name=ASTERISK, port=sip, protocol=udp]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@localhost]
logpath = /var/log/asterisk/messages
maxretry = 2
bantime = 3600 # 1 Stunde (in Sekunden)
Code: Alles auswählen
[general]
dateformat=%F %T
[logfiles]
messages => notice,warning,error
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Re: Password bzw. Login Hacker
Hallo Tim,
in meiner /etc/fail2ban/filter.d/asterisk.conf wird noch mehr gefiltert.
Wichtig finde ich den Filter "Device does not match ACL" der bei dir fehlt.
Auf meinem Asterisk gibt es SIP Konten die durch ACLs zusätzlich geprüft werden.
Meine Grandstreams haben ein ACL Bedingung (nur LAN erlauben)
/etc/asterisk/sip.conf
Mein Base Handy hat die ACL Bedingung (nur aus dem Base IP-Bereich)
/etc/fail2ban/filter.d/asterisk.conf
und in der jail.conf von fail2ban gehe ich noch einen schritt weiter.
Mit iptables-allports ... blocke ich für den Passwort Hacker den ganzen Server.
/etc/fail2ban/jail.conf
Gruß
Rainer
in meiner /etc/fail2ban/filter.d/asterisk.conf wird noch mehr gefiltert.
Wichtig finde ich den Filter "Device does not match ACL" der bei dir fehlt.
Auf meinem Asterisk gibt es SIP Konten die durch ACLs zusätzlich geprüft werden.
Meine Grandstreams haben ein ACL Bedingung (nur LAN erlauben)
/etc/asterisk/sip.conf
Code: Alles auswählen
deny=0.0.0.0/0.0.0.0
permit=192.168.8.0/24
Code: Alles auswählen
deny=0.0.0.0/0.0.0.0
permit=212.23.96.0/19
permit=92.117.14.0/19
permit=92.116.0.0/15
permit=192.168.8.0/24 ; mein LAN-IP-Bereich
permit=192.168.1.0/24 ; mein WLAN-IP-Bereich
Code: Alles auswählen
failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*
Mit iptables-allports ... blocke ich für den Passwort Hacker den ganzen Server.
/etc/fail2ban/jail.conf
Code: Alles auswählen
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@example.org]
logpath = /var/log/asterisk/messages
maxretry = 5
bantime = 259200
Rainer
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
- Tim
- Administrator
- Beiträge: 160
- Registriert: Sa 1. Nov 2008, 00:02
- Wohnort: Freilassing / Oberbayern / Deutschland
- Kontaktdaten:
Re: Password bzw. Login Hacker
Hallo Rainer,
ich verwende keine ACLs, drum hab ich das bei mir nicht drin, aber du hast Recht, wenn man das verwendet, sollte man diese LOG-Einträge mit beachten.
Ich denke, das mit dem ALLPORTS oder nur einzelne Ports ist "geschmackssache" und auch nach dem Anwendungsfall zu betrachten. Es kann beides sinnvoll sein meiner Meinung nach.
Grüße
Tim
ich verwende keine ACLs, drum hab ich das bei mir nicht drin, aber du hast Recht, wenn man das verwendet, sollte man diese LOG-Einträge mit beachten.
Ich denke, das mit dem ALLPORTS oder nur einzelne Ports ist "geschmackssache" und auch nach dem Anwendungsfall zu betrachten. Es kann beides sinnvoll sein meiner Meinung nach.
Grüße
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
Re: Password bzw. Login Hacker
Nach meinem update auf 1.8.2.4 hat bei mir fail2ban nicht mehr geblockt ...
Grund:
Der Asterisk 1.8 schreibt jetzt auch den SourcePort in die Log Datei. siehe Beispiel "192.168.0.100:31434"
Beispiel aus der Asterisk 1.8 Log Datei:
Feb 20 18:30:40 localhost asterisk[32229]: NOTICE[32257]: chan_sip.c:23417 in handle_request_register: Registration from 'XXXXXXXXXXXXXXXXX' failed for '192.168.0.100:31434' - Wrong password
Hier die neue REGEX für Asterisk 1.8:
Grund:
Der Asterisk 1.8 schreibt jetzt auch den SourcePort in die Log Datei. siehe Beispiel "192.168.0.100:31434"
Beispiel aus der Asterisk 1.8 Log Datei:
Feb 20 18:30:40 localhost asterisk[32229]: NOTICE[32257]: chan_sip.c:23417 in handle_request_register: Registration from 'XXXXXXXXXXXXXXXXX' failed for '192.168.0.100:31434' - Wrong password
Hier die neue REGEX für Asterisk 1.8:
Code: Alles auswählen
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Wrong password
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - No matching peer found
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Username/auth name mismatch
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Device does not match ACL
Registration from '.*' failed for '<HOST>(:[0-9]{1,5})?' - Peer is not supposed to register
Rainer Piper - Bonn - 0228 97167161 or SIP-URI: sip:7000@sip.soho-piper.de:5072
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Software: kamailio 4.2.0 -> Asterisk 13.0.1 mit pjsip stack
Hardware: 2x QuadCore, 128GB ECC-RAM, 4x HDD Raid 10
Re: Password bzw. Login Hacker
Sehr gute Tipps. Werde ich auch mal anwenden.
- Tim
- Administrator
- Beiträge: 160
- Registriert: Sa 1. Nov 2008, 00:02
- Wohnort: Freilassing / Oberbayern / Deutschland
- Kontaktdaten:
Re: Password bzw. Login Hacker
Hallo Rainer,
es ist zwar schon etwas her, aber ich habe es jetzt akut gebraucht, dabei ist mir aufgefallen, dass sich die runde Klammer auf die falsche Seite verirrt hat. Die Klamme muss, zumindest damit es bei mir funktioniert nach dem Doppelpunkt stehen.
Gruß
Tim
es ist zwar schon etwas her, aber ich habe es jetzt akut gebraucht, dabei ist mir aufgefallen, dass sich die runde Klammer auf die falsche Seite verirrt hat. Die Klamme muss, zumindest damit es bei mir funktioniert nach dem Doppelpunkt stehen.
Code: Alles auswählen
Registration from '.*' failed for '<HOST>:([0-9]{1,5})?' - Wrong password
Tim
Dipl.-Ing. Tim Grünberg
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space
dCAP zertifiziert seit 2007
Debian Jessie x86_64
Asterisk 13.5.0
Deutsche Telekom All IP Anschluss
SNOM 370, SNOM M3 & Grandstream GXP2000
AMD Athlon II X4 605e -- 16 GB DDR3 RAM -- 2 TB SATA2 HDD Space