[AsteriskBrasil] Erro ast_sockaddr_resolve
Junior
ftartari em gmail.com
Quarta Fevereiro 18 18:33:53 BRST 2015
Eu não deixo os meus escutando a porta padrão 5060
Existem muitos BOTS que ficam varrendo os IPS de internet em busca de hosts
respondendo na porta 5060. Após identificar uma resposta ele investe mais
tempo tentando força bruta com algumas wordlists como extensão e senha.
Não importa quão bem você configure o firewall, mesmo dropando todos os
pacotes ainda tem um consumo de rede/internet, e processamento caso o
firewall seja na mesma máquina.
Já tive um caso de um asterisk estar com mais de 100 bots em cima dele
tentando... Já era praticamente um DDOS já que saturava a conexão de
internet.
A melhor coisa é não rodar na porta padrão... assim quando um bot testar a
porta 5060 no seu IP e não tiver resposta, já passa pra outro e não fica
incomodando.
Também é recomendável trocar por porta não padrão a porta do SSH, apache,
FTP, VPN, BD entre outras.
Um grande abraço
Em 18 de fevereiro de 2015 17:20, Roberto Carlos Batatinha <
batatinharc em gmail.com> escreveu:
>
>
> Os IPs que peguei no log do asterisk e bloqueie no iptables:
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> DROP all -- 37.8.77.1 anywhere
> DROP all -- 82.205.14.237 anywhere
> DROP all -- 37.8.77.230 anywhere
> DROP all -- 176.106.46.38 anywhere
> DROP all -- 37.75.213.225 anywhere
> DROP all -- 188.161.247.140 anywhere
> DROP all -- 5.133.25.107 anywhere
> DROP all -- host.colocrossing.com anywhere
> DROP all -- 195-154-41-168.rev.poneytelecom.eu anywhere
> DROP all -- 212-83-135-68.rev.poneytelecom.eu anywhere
>
> Anexo regra firewall. O asterisk é o ip 192.168.1.12 que esta apenas na
> regra de saída.
>
>
> No dia 18 de fevereiro de 2015 às 15:34, Daniel Zanutti <
> daniel.zanutti em gmail.com> escreveu:
>
>> Batata
>>
>> Tem alguma porta aberta aí, revisa o firewall. Talvez um DMZ?
>>
>> Abs
>>
>> 2015-02-18 14:23 GMT-02:00 Roberto Carlos Batatinha <
>> batatinharc em gmail.com>:
>>
>> Claudio,
>>>
>>> Peguei os logs do asterisk e faz uma semana que estão na tentativa e
>>> erro.
>>>
>>> Como só tenho um ramal: 7000 era o único comprometido e como não tenho
>>> link para saída não completaram nenhuma chamada, mas tentara. Creio que
>>> conseguiram pegar o 7000 e efetuar chamada, porque ele não estava
>>> funcionando, troquei a senha e voltei a fazer chamada interna, mas as
>>> tentativas de registros continuam e são 3 ips diferentes.
>>>
>>> Outra coisa que identifiquei no log é o contexto default, como não tenho
>>> este contexto, não conseguiram.
>>>
>>> O firewall que tenho é o da própria vivo, fechei todas as portas, mas
>>> continua.
>>>
>>>
>>>
>>>
>>>
>>> No dia 18 de fevereiro de 2015 às 13:34, Claudio Eden <
>>> claudio.eden em gmail.com> escreveu:
>>>
>>> Pelos registro de senha errada seguidamente, que é uma das
>>>> caracteristicas de tentativa de invasão, eu suponho que o invasor tenha
>>>> conseguido alterar seu arquivo hosts (/etc/hosts) o que está gerando esse
>>>> outro erro (getaddrinfo).
>>>>
>>>> Reveja as configurações do /etc/hosts (veja quando foi alterado a
>>>> ultima vez e se o conteúdo está correto). Em seguida, como já dito pelo
>>>> Sylvio, veja seu firewall e de uma atenção a configuração SIP para ver se
>>>> já não há nenhum ramal comprometido (veja registros - CDR - de ligações
>>>> estranhas, IP de conexão do ramal, etc).
>>>>
>>>>
>>>> *Atenciosamente,*
>>>>
>>>>
>>>> *Cláudio Éden*
>>>> Consultor de TI | dCAA | MSDST | ITIL
>>>> +55 85 8972-1842
>>>> claudio.eden em gmail.com / claudio em eden.com.br
>>>>
>>>>
>>>>
>>>>
>>>> Em 18 de fevereiro de 2015 12:06, Sylvio Jollenbeck <
>>>> sylvio.jollenbeck em gmail.com> escreveu:
>>>>
>>>> Isso está com cara de ser uma tentativa de invasão.
>>>>>
>>>>> Desative o ipv6.
>>>>> Ative o firewall.
>>>>> Ajuste suas configurações de sip.
>>>>> Em 18/02/2015 12:37, "Roberto Carlos Batatinha" <batatinharc em gmail.com>
>>>>> escreveu:
>>>>>
>>>>>> Pessoal, boa tarde!
>>>>>>
>>>>>> Estou com um erro e não sei o que pode ser. Não foi feita nenhuma
>>>>>> mudança e parou de funcionar.
>>>>>>
>>>>>> *Ao tentar fazer alguma chamada, mesmo entre ramais, recebo o
>>>>>> seguinte:*
>>>>>>
>>>>>> [Feb 18 11:51:43] ERROR[24386]: netsock2.c:269 ast_sockaddr_resolve:
>>>>>> getaddrinfo("fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd", "5060", ...): Address
>>>>>> family for hostname not supported
>>>>>>
>>>>>> [Feb 18 11:51:43] WARNING[24386]: chan_sip.c:18044 check_via: Could
>>>>>> not resolve socket address for '[fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd]:5060'
>>>>>>
>>>>>> *E depois fico recebendo:*
>>>>>>
>>>>>> [Feb 18 11:52:11] NOTICE[24386]: chan_sip.c:28104
>>>>>> handle_request_register: Registration from '"5123" <
>>>>>> sip:5123 em 192.168.1.12:5060>' failed for '212.83.135.68:5062' - Wrong
>>>>>> password
>>>>>>
>>>>>> [Feb 18 11:52:18] NOTICE[24386]: chan_sip.c:28104
>>>>>> handle_request_register: Registration from '"3223" <
>>>>>> sip:3223 em 192.168.1.12:5060>' failed for '212.83.135.68:5144' - Wrong
>>>>>> password
>>>>>>
>>>>>> [Feb 18 11:52:24] NOTICE[24386]: chan_sip.c:28104
>>>>>> handle_request_register: Registration from '"424" <
>>>>>> sip:424 em 192.168.1.12:5060>' failed for '212.83.135.68:5066' - Wrong
>>>>>> password
>>>>>>
>>>>>> [Feb 18 11:52:25] NOTICE[24386]: chan_sip.c:28104
>>>>>> handle_request_register: Registration from '"2623" <
>>>>>> sip:2623 em 192.168.1.12:5060>' failed for '212.83.135.68:5112' - Wrong
>>>>>> password
>>>>>>
>>>>>> Desde já obrigado.
>>>>>> batata
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>>>> Intercomunicadores para acesso remoto via rede IP e telefones IP
>>>>>> Conheça todo o portfólio em www.Khomp.com
>>>>>> _______________________________________________
>>>>>> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM,
>>>>>> FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
>>>>>> Construa soluções de PABX IP com produtos DigiVoice - visite
>>>>>> www.digivoice.com.br
>>>>>> _______________________________________________
>>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>>> Intercomunicadores para acesso remoto via rede IP e telefones IP
>>>>> Conheça todo o portfólio em www.Khomp.com
>>>>> _______________________________________________
>>>>> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM,
>>>>> FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
>>>>> Construa soluções de PABX IP com produtos DigiVoice - visite
>>>>> www.digivoice.com.br
>>>>> _______________________________________________
>>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>>> Intercomunicadores para acesso remoto via rede IP e telefones IP
>>>> Conheça todo o portfólio em www.Khomp.com
>>>> _______________________________________________
>>>> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO
>>>> e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
>>>> Construa soluções de PABX IP com produtos DigiVoice - visite
>>>> www.digivoice.com.br
>>>> _______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>>> Intercomunicadores para acesso remoto via rede IP e telefones IP
>>> Conheça todo o portfólio em www.Khomp.com
>>> _______________________________________________
>>> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO
>>> e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
>>> Construa soluções de PABX IP com produtos DigiVoice - visite
>>> www.digivoice.com.br
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
>> Intercomunicadores para acesso remoto via rede IP e telefones IP
>> Conheça todo o portfólio em www.Khomp.com
>> _______________________________________________
>> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e
>> FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
>> Construa soluções de PABX IP com produtos DigiVoice - visite
>> www.digivoice.com.br
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7
> Intercomunicadores para acesso remoto via rede IP e telefones IP
> Conheça todo o portfólio em www.Khomp.com
> _______________________________________________
> DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e
> FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.
> Construa soluções de PABX IP com produtos DigiVoice - visite
> www.digivoice.com.br
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
--
--------------------------------------------------------------------
Esta mensagem contém informação confidencial e/ou privilegiada. Se você não
for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode
usar, copiar ou divulgar as informações nela contidas ou tomar qualquer
ação baseada nessas informações. Se você recebeu esta mensagem por engano,
por favor avise imediatamente o remetente, respondendo o e-mail e em
seguida apague-o. Comunicações pela Internet não podem ser garantidas
quanto à pontualidade, segurança ou inexistência de erros ou vírus. O
remetente por esta razão não se responsabiliza por qualquer erro, omissão
ou mesmo opiniões e declarações contidas no conteúdo desta mensagem.
This E-mail is confidential. It may also be legally privileged. If you are
not the addressee you may not copy, forward, disclose or use any part of
it. If you have received this message in error, please delete it and all
copies from your system and notify the sender immediately by return E-mail.
Internet communications cannot be guaranteed to be timely, secure, error or
virus-free. The sender does not accept liability for any errors, omissions,
opinions or declarations contained in this E-mail.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20150218/63c97581/attachment-0001.html>
Mais detalhes sobre a lista de discussão AsteriskBrasil