[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Caio Pato caiopato em gmail.com
Quarta Julho 31 11:47:25 BRT 2013


Eu estava sendo vítima de uma tentativa de ataque a partir do IP
67.207.137.49 (Rackspace Cloud Servers),
Foram 3548 tentativas em 10 minutos até ser bloqueado manualmente no iptables.
Não investiguei a fundo o método do ataque, mas basicamente ele estava
tentando cavar uma falha no dialplan.

No console apareceu:
Jul 31 09:53:58 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
Not a SIP header (tel:1900442075005000)?
...
Jul 31 10:04:37 WARNING[18816]: chan_sip.c:6903 get_destination: Huh?
Not a SIP header (tel:2440900442075005000)?

Note que o atacando manteve o sufixo e alterava só o prefixo (19, 29,
39, .... até chegar no 24409 quando eu bloqueei via iptables.

Esse tipo de ataque NÃO É identificado pelo fail2ban pois não há logs gerados.

O telefone 00442075005000 pertence a um banco (Citi) em Londres. Pode
ser apenas um número teste - se o atacante receber "CONNECT", a
tentativa foi bem sucedida e ele descarrega um caminhão de chamadas
para outros destinos.

Então vale o eterno conselho: fique de olho - não confie só no fail2ban.


Mais detalhes sobre a lista de discussão AsteriskBrasil