<div dir="ltr">Bom dia a todos!<div><br></div><div>Consegui bloquear os acessos. Por default o firewall da vivo vem aberto a porta 5060 in e out, foi um puta trampo achar, mas encontrei e tirei as entradas. </div><div><br></div><div>Agora vou mudar as portas default 5060 para garantir.</div><div><br></div><div>Algumas coisas que fiz e não surgiram efeito: </div><div>iptables não barrou, cadastrei conforme orientado nos e-mails, mas sem sucesso.</div><div>alterei o SIP.conf para permitir apenas da rede interna e mesmo assim continuei recebendo os ataques.</div><div><br></div><div>Vou estudar um pouco mais sobre iptables, fail2ban e os parametros SIP.</div><div><br></div><div><br></div><div>Quero agradecer a todos pela ajudar.</div><div><br></div><div>Abraços,</div><div>batata</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">No dia 18 de fevereiro de 2015 às 21:18, Sylvio Jollenbeck <span dir="ltr">&lt;<a href="mailto:sylvio.jollenbeck@gmail.com" target="_blank">sylvio.jollenbeck@gmail.com</a>&gt;</span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Roberto, boa noite.<div><br></div><div>Passei o dia em cliente e não vi mais os e-mails, você continua com problema ? Ainda precisa de ajuda ? Se você quiser posso acessar a sua maquina via TV e te dar um apoio, odeio invasores/esse tipo de coisa....</div><div><br></div><div>Abs, </div></div><div class="gmail_extra"><br><div class="gmail_quote">Em 18 de fevereiro de 2015 19:43, dbbrito <span dir="ltr">&lt;<a href="mailto:dborges100@gmail.com" target="_blank">dborges100@gmail.com</a>&gt;</span> escreveu:<div><div class="h5"><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">já desabilitou o ipv6?<br></div><div class="gmail_extra"><br><div class="gmail_quote">Em 18 de fevereiro de 2015 18:33, Junior <span dir="ltr">&lt;<a href="mailto:ftartari@gmail.com" target="_blank">ftartari@gmail.com</a>&gt;</span> escreveu:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Eu não deixo os meus escutando a porta padrão 5060<div><br></div><div>Existem muitos BOTS que ficam varrendo os IPS de internet em busca de hosts respondendo na porta 5060. Após identificar uma resposta ele investe mais tempo tentando força bruta com algumas wordlists como extensão e senha.</div><div><br></div><div>Não importa quão bem você configure o firewall, mesmo dropando todos os pacotes ainda tem um consumo de rede/internet, e processamento caso o firewall seja na mesma máquina.</div><div><br></div><div>Já tive um caso de um asterisk estar com mais de 100 bots em cima dele tentando... Já era praticamente um DDOS já que saturava a conexão de internet.</div><div><br></div><div><br></div><div>A melhor coisa é não rodar na porta padrão... assim quando um bot testar a porta 5060 no seu IP e não tiver resposta, já passa pra outro e não fica incomodando.</div><div><br></div><div>Também é recomendável trocar por porta não padrão a porta do SSH, apache, FTP, VPN, BD entre outras.</div><div><br></div><div><br></div><div>Um grande abraço</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Em 18 de fevereiro de 2015 17:20, Roberto Carlos Batatinha <span dir="ltr">&lt;<a href="mailto:batatinharc@gmail.com" target="_blank">batatinharc@gmail.com</a>&gt;</span> escreveu:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div><br></div><div>Os IPs que peguei no log do asterisk e bloqueie no iptables:</div><div><br></div><div>Chain FORWARD (policy ACCEPT)</div><div>target     prot opt source               destination</div><div>DROP       all  --  37.8.77.1            anywhere</div><div>DROP       all  --  82.205.14.237        anywhere</div><div>DROP       all  --  37.8.77.230          anywhere</div><div>DROP       all  --  176.106.46.38        anywhere</div><div>DROP       all  --  37.75.213.225        anywhere</div><div>DROP       all  --  188.161.247.140      anywhere</div><div>DROP       all  --  5.133.25.107         anywhere</div><div>DROP       all  --  <a href="http://host.colocrossing.com" target="_blank">host.colocrossing.com</a>  anywhere</div><div>DROP       all  --  <a href="http://195-154-41-168.rev.poneytelecom.eu" target="_blank">195-154-41-168.rev.poneytelecom.eu</a>  anywhere</div><div>DROP       all  --  <a href="http://212-83-135-68.rev.poneytelecom.eu" target="_blank">212-83-135-68.rev.poneytelecom.eu</a>  anywhere</div><div><br></div><div>Anexo regra firewall. O asterisk é o ip 192.168.1.12 que esta apenas na regra de saída. </div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">No dia 18 de fevereiro de 2015 às 15:34, Daniel Zanutti <span dir="ltr">&lt;<a href="mailto:daniel.zanutti@gmail.com" target="_blank">daniel.zanutti@gmail.com</a>&gt;</span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Batata<div><br></div><div>Tem alguma porta aberta aí, revisa o firewall. Talvez um DMZ?</div><div><br></div><div>Abs</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-18 14:23 GMT-02:00 Roberto Carlos Batatinha <span dir="ltr">&lt;<a href="mailto:batatinharc@gmail.com" target="_blank">batatinharc@gmail.com</a>&gt;</span>:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Claudio,<div><br></div><div>Peguei os logs do asterisk e faz uma semana que estão na tentativa e erro. <div><br></div><div>Como só tenho um ramal: 7000 era o único comprometido e como não tenho link para saída não completaram nenhuma chamada, mas tentara. Creio que conseguiram pegar o 7000 e efetuar chamada, porque ele não estava funcionando,  troquei a senha e voltei a fazer chamada interna, mas as tentativas de registros continuam e são 3 ips diferentes.</div><div><br></div><div>Outra coisa que identifiquei no log é o contexto default, como não tenho este contexto, não conseguiram. </div><div><br></div><div>O firewall que tenho é o da própria vivo, fechei todas as portas, mas continua.</div><div><br></div><div><br></div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">No dia 18 de fevereiro de 2015 às 13:34, Claudio Eden <span dir="ltr">&lt;<a href="mailto:claudio.eden@gmail.com" target="_blank">claudio.eden@gmail.com</a>&gt;</span> escreveu:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Pelos registro de senha errada seguidamente, que é uma das caracteristicas de tentativa de invasão, eu suponho que o invasor tenha conseguido alterar seu arquivo hosts (/etc/hosts) o que está gerando esse outro erro (getaddrinfo). <div><br></div><div>Reveja as configurações do /etc/hosts (veja quando foi alterado a ultima vez e se o conteúdo está correto). Em seguida, como já dito pelo Sylvio, veja seu firewall e de uma atenção a configuração SIP para ver se já não há nenhum ramal comprometido (veja registros - CDR - de ligações estranhas, IP de conexão do ramal, etc).</div></div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><strong><br></strong></div><div><strong>Atenciosamente,</strong></div>
<div> </div>
<div> </div>
<div><span></span><b><font color="#45818e">Cláudio Éden</font></b>  </div><div>Consultor de TI  |  dCAA  |  MSDST  |  ITIL <br><a href="tel:%2B55%2085%208972-1842" value="+558589721842" target="_blank">+55 85 8972-1842</a> <br>
<a href="mailto:claudio.eden@gmail.com" target="_blank">claudio.eden@gmail.com</a>   /   <a href="mailto:claudio@eden.com.br" target="_blank">claudio@eden.com.br</a></div><div><br></div><div><img src="https://docs.google.com/uc?export=download&amp;id=0B7kQ7o32GSoeTUstbzQyVHZlSjA&amp;revid=0B7kQ7o32GSoeY1hQSFp2aUdTaDBpWFRWRDhkUlMzL3hVOWs0PQ"><br><br></div></div></div></div></div></div>
<br><div class="gmail_quote">Em 18 de fevereiro de 2015 12:06, Sylvio Jollenbeck <span dir="ltr">&lt;<a href="mailto:sylvio.jollenbeck@gmail.com" target="_blank">sylvio.jollenbeck@gmail.com</a>&gt;</span> escreveu:<div><div><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Isso está com cara de ser uma tentativa de invasão. </p>
<p dir="ltr">Desative o ipv6.<br>
Ative o firewall.<br>
Ajuste suas configurações de sip.</p>
<div class="gmail_quote">Em 18/02/2015 12:37, &quot;Roberto Carlos Batatinha&quot; &lt;<a href="mailto:batatinharc@gmail.com" target="_blank">batatinharc@gmail.com</a>&gt; escreveu:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr">Pessoal, boa tarde!<div><br></div><div>Estou com um erro e não sei o que pode ser. Não foi feita nenhuma mudança e parou de funcionar.</div><div><br></div><div><b>Ao tentar fazer alguma chamada, mesmo entre ramais, recebo o seguinte:</b></div><div><br></div><div>[Feb 18 11:51:43] ERROR[24386]: netsock2.c:269 ast_sockaddr_resolve: getaddrinfo(&quot;fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd&quot;, &quot;5060&quot;, ...): Address family for hostname not supported<br></div><div><br></div><div>[Feb 18 11:51:43] WARNING[24386]: chan_sip.c:18044 check_via: Could not resolve socket address for &#39;[fdf4:22ef:e281:1:20b:82ff:fe5f:a1dd]:5060&#39;<br></div><div><br></div><div><b>E depois fico recebendo:</b></div><div><br></div><div><div>[Feb 18 11:52:11] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from &#39;&quot;5123&quot; &lt;<a href="http://sip:5123@192.168.1.12:5060" target="_blank">sip:5123@192.168.1.12:5060</a>&gt;&#39; failed for &#39;<a href="http://212.83.135.68:5062" target="_blank">212.83.135.68:5062</a>&#39; - Wrong password</div><div><br></div><div>[Feb 18 11:52:18] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from &#39;&quot;3223&quot; &lt;<a href="http://sip:3223@192.168.1.12:5060" target="_blank">sip:3223@192.168.1.12:5060</a>&gt;&#39; failed for &#39;<a href="http://212.83.135.68:5144" target="_blank">212.83.135.68:5144</a>&#39; - Wrong password</div><div><br></div><div>[Feb 18 11:52:24] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from &#39;&quot;424&quot; &lt;<a href="http://sip:424@192.168.1.12:5060" target="_blank">sip:424@192.168.1.12:5060</a>&gt;&#39; failed for &#39;<a href="http://212.83.135.68:5066" target="_blank">212.83.135.68:5066</a>&#39; - Wrong password</div><div><br></div><div>[Feb 18 11:52:25] NOTICE[24386]: chan_sip.c:28104 handle_request_register: Registration from &#39;&quot;2623&quot; &lt;<a href="http://sip:2623@192.168.1.12:5060" target="_blank">sip:2623@192.168.1.12:5060</a>&gt;&#39; failed for &#39;<a href="http://212.83.135.68:5112" target="_blank">212.83.135.68:5112</a>&#39; - Wrong password</div></div><div><br></div><div>Desde já obrigado.</div><div>batata</div><div><br></div></div>
<br></div></div>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div><br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><span><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><font color="#999999"><br></font></div><font color="#999999"><div>--------------------------------------------------------------------<br></div></font><font size="1" color="#999999"><div style="text-align:left">Esta mensagem contém informação confidencial e/ou privilegiada. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor avise imediatamente o remetente, respondendo o e-mail e em seguida apague-o. Comunicações pela Internet não podem ser garantidas quanto à pontualidade, segurança ou inexistência de erros ou vírus. O remetente por esta razão não se responsabiliza por qualquer erro, omissão ou mesmo opiniões e declarações contidas no conteúdo desta mensagem.</div><div style="text-align:left"><br></div><div style="text-align:left">This E-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return E-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors, omissions, opinions or declarations contained in this E-mail.</div></font></div></div>
</font></span></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><br></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div></div></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><span style="font-family:trebuchet ms,sans-serif">Sylvio Jollenbeck</span><div><span style="font-family:trebuchet ms,sans-serif">skype: sylvio.jollenbeck<br><font size="1"><a href="http://www.hosannatecnologia.com.br/" target="_blank">www.hosannatecnologia.com.br</a></font></span><br><img src="http://www.hosannatecnologia.com.br/pixel.fw.png"><br></div></div></div>
</font></span></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7<br>
Intercomunicadores para acesso remoto via rede IP e telefones IP<br>
Conheça todo o portfólio em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE: Fabricante pioneiro em Banco de Canais e Placas E1, GSM, FXO e FXS para Asterisk e Elastix. Temos Cursos de Telefonia IP e Asterisk.<br>
Construa soluções de PABX IP com produtos DigiVoice - visite  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div><br></div>