Invasão Asterisk [RESOLVIDO]

1. Invasão Asterisk [RESOLVIDO]

procti
(usa CentOS)

Enviado em 18/02/2015 - 15:27h

Boa tarde,

Venho sofrendo tentativas de invasão que fazem meus ramais ficarem trocando.

1. Já mudei o ssh para não usar a porta padrão (22).

2. Instalei o Fail2ban, identificou alguns IPs (China), então coloquei o script abaixo do RC.LOCAL:

#!/bin/bash

  

  cd /root/

  BLOCKDB=/root/chinese-iptables-blocklist.txt

  

  if [ -f $BLOCKDB ]

  then

   while read IPS

     do

	iptables -A INPUT  -s $IPS -j DROP

	iptables -A OUTPUT -d $IPS -j DROP

	echo "IP: $IPS Bloqueado"

     done < $BLOCKDB

  else

     echo "Arquivo $BLOCKDB não existe"

     exit 1

  fi

Diminuiu mas não resolveu....

3. então troquei esse script por esse:

#!/bin/bash



iptables -P INPUT DROP

  

cd /

DB=/brazil-iptables-list.txt



if [ -f $DB ]

  then

  while read IPS

     do

       iptables -A INPUT -s $IPS -j ACCEPT

     done < $DB

  else

     echo "Arquivo $DB não existe"

     exit 1

fi

Com esse minha central parou de funcionar, acho que bloqueou o IP do VOIP VONO

Eu sou novo em Linux, estou a meses pesquisando, mais estou com muita dificuldade para resolver isso sozinho.

Obrigado

0 0

Quote

2. Re: Invasão Asterisk

buckminster
(usa Debian)

Enviado em 18/02/2015 - 18:01h

Teste esse último script acrescentando essa regra:

iptables -A OUTPUT -d $IPS -j ACCEPT

E dê uma lida nisso:

http://www.asterisklibre.org/?p=421

1 0

Quote

3. Re: Invasão Asterisk [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 18/02/2015 - 19:20h

Como você sabe que foram invasões?
Como você sabe que é o ssh?

Se for o ssh, um firewall tem pouca utilidade se você permite login do usuário root de usuários com "sudo powers".

Se foram feitos testes sucessivos no iptables (sem reboot), provavelmente, algumas regras de testes anteriores ainda estão ativas. Verifique as regras ativas no seu firewall com o comando:

iptables -L

Nos dois exemplos, você bloqueou inclusive as respostas dos hosts destino e as aplicações que iniciaram as conexões firam sem resposta. Quando se usa políticas de drop, precisa-se liberar ao menos o básico:



iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

Mas depende muito das particularidades do servidor.

É recomendável que você estude os fundamentos do funcionamento de firewalls e a sintaxe do iptables.

1 0

Quote

4. Re: Invasão Asterisk [RESOLVIDO]

procti
(usa CentOS)

Enviado em 22/02/2015 - 18:57h

buckminster escreveu:

Teste esse último script acrescentando essa regra:

iptables -A OUTPUT -d $IPS -j ACCEPT

E dê uma lida nisso:

http://www.asterisklibre.org/?p=421

Mesmo com esse linha ai ficou sem conexão com o VOIP VONO... Acho que vou ter que tirar esse script...

dei uma linda no link, estou começando a entender e fazer esses ajustes...

1 0

Quote

5. Re: Invasão Asterisk [RESOLVIDO]

procti
(usa CentOS)

Enviado em 22/02/2015 - 19:29h

textmode escreveu:

Como você sabe que foram invasões?
Como você sabe que é o ssh?

Se for o ssh, um firewall tem pouca utilidade se você permite login do usuário root de usuários com "sudo powers".

Se foram feitos testes sucessivos no iptables (sem reboot), provavelmente, algumas regras de testes anteriores ainda estão ativas. Verifique as regras ativas no seu firewall com o comando:

iptables -L



iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

Mas depende muito das particularidades do servidor.

É recomendável que você estude os fundamentos do funcionamento de firewalls e a sintaxe do iptables.

Imagino que sejam invasões porque o FAIL2BAN, mostra IP estrangeiros, quando dou um IPTABLES - L
o software do elastix tem um relatório também, nele aparece que as chamadas vem do meu IP de internet para os ramais que recebem as chamadas mudas (fantasma como dizem)

Não sei se foi via SSH, só vi na internet que era uma segurança a mais mudar a porta do ssh... e fiz...

adicionei sua sugestão, mais a sugestão do nosso outro colega, no script que libera só o Brasil e agora conectou o VOIP VONO, estou recebendo ligações :)



iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

Agora vou monitorar para ver se resolveu o problema do ataques (chamadas fantasmas)

Ficou assim:

#!/bin/sh

#

# This script will be executed *after* all the other init scripts.

# You can put your own initialization stuff in here if you don't

# want to do the full Sys V style init stuff.



touch /var/lock/subsys/local

/usr/local/sbin/motd.sh > /etc/motd

/usr/sbin/fxotune -s

/usr/sbin/amportal start_fop



#!/bin/bash

  

#  cd /root/

#  BLOCKDB=/root/chinese-iptables-blocklist.txt

  

#  if [ -f $BLOCKDB ]

#  then

#   while read IPS

#     do

#	iptables -A INPUT  -s $IPS -j DROP

#	iptables -A OUTPUT -d $IPS -j DROP

#	echo "IP: $IPS Bloqueado"

#     done < $BLOCKDB

#  else

#     echo "Arquivo $BLOCKDB não existe"

#     exit 1

#fi







#!/bin/bash



iptables -P INPUT DROP

  

cd /

DB=/brazil-iptables-list.txt



if [ -f $DB ]

  then

  while read IPS

     do

       	iptables -A INPUT -s $IPS -j ACCEPT

	iptables -A OUTPUT -d $IPS -j ACCEPT

     done < $DB

  else

     echo "Arquivo $DB não existe"

     exit 1

fi



iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

Estou seguindo seu conselho de estudar os fundamentos, etc... mas, infelizmente esse aprendizado demora um pouco e esse ataques continuam evoluindo, com uma senha mais fraca que eu utilizava antes fui invadido e consumiram meus créditos do VONO

Além da lista sugerida pelo nosso amigo vocês tem alguma outra sugestão?

Desde já agradeço, atenção e o tempo de vocês, parece que evoluímos vou continuar monitorando para ver...

1 0

Quote

6. Resolvido

procti
(usa CentOS)

Enviado em 04/03/2015 - 18:32h

Pessoal,

Acompanhei durante mais de uma semana e as chamadas fantasmas acabaram com esse script.

Muito obrigado, a todos os que me ajudaram e ao VivaoLinux.

Como eu fecho esse tópico? rs

Abs.

2 0

Quote

7. Re: Invasão Asterisk [RESOLVIDO]

buckminster
(usa Debian)

Enviado em 06/03/2015 - 16:47h

procti escreveu:

Pessoal,

Acompanhei durante mais de uma semana e as chamadas fantasmas acabaram com esse script.

Muito obrigado, a todos os que me ajudaram e ao VivaoLinux.

Como eu fecho esse tópico? rs

Abs.

De nada.

Clique em 'Marcar como resolvido'.

1 0

Quote

8. Re: Invasão Asterisk [RESOLVIDO]

r1ck2
(usa CentOS)

Enviado em 19/08/2015 - 11:48h

Desculpa tá abrindo o Tópico. Mas preciso de um HELP
Estou com o mesmo problema já coloquei o fail2ban mas não resolveu o problema.

Pode me auxiliar como resolveu o problema?
Coloquei um telefone com bina sempre toca o 1001, 101, 4001... 5001... sempre os ramais que não existe peers.

0 0

Quote