Уже пора
egrep 89.187.53.226 по текстам конфигов и кода, - вычислить весёлых молдаван, ну и америкосов.
Взломали asterisk
Re: Взломали asterisk
root@sag:/var/log/asterisk# egrep 89.187.53.226 /var/log/asterisk/messages
ded, по текстам каких конфигов и кодов (сорри, нуб)? На шлюзе NAT посмотрел все логи - таких из Молдовы нет.
Например, на фрях (NAT) в:
выхлоп нулевой.
Зато из Болгарии гости пытались ssh подобрать...
Вообще реально вычислить гостей из Молдовы? Просто спортивного интереса ради. Snort ставить разве что? Информативности стандартных логов в поимке, видать, не достаточно.
Код: Выделить всё
[Feb 12 10:21:04] NOTICE[23637] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:unknown@89.187.53.226>;tag=lQnUmaviVc
[Feb 12 10:21:04] WARNING[23637] chan_sip.c: sip_xmit of 0x7f5ff0002ad0 (len 566) to 89.187.53.226:5060 returned -2: Network is unreachableНапример, на фрях (NAT) в:
Код: Выделить всё
ххх# egrep 89.187.53.226 /var/log/messagesЗато из Болгарии гости пытались ssh подобрать...
Код: Выделить всё
Feb 12 01:24:28 xxx sshd[98226]: Invalid user kylix from 85.187.128.4
Feb 12 01:24:31 xxx sshd[98232]: Invalid user mov from 85.187.128.4
Feb 12 01:24:33 xxx sshd[98234]: Invalid user be from 85.187.128.4
Feb 12 01:24:35 xxx sshd[98238]: Invalid user richard from 85.187.128.4Re: Взломали asterisk
Два утверждения -
Если он за NAT, то это не глухо, через этот NAT проброшен ведь порт 5060? Значит от нета не отключен, значит сканируется снаружи на предмет открытого порта 5060, стало быть туда можно вдувать всё что угодно. Я так понимаю, что ssh тоже проброшен, иначе как подбирают?
иdefekt писал(а):Вброс по тематике "лома". Мой Астериск в Интернет не смотрит. Сидит глухо за NAT. От нета отключён.
прямо противоречат друг другу.defekt писал(а):Зато из Болгарии гости пытались ssh подобрать...
Feb 12 01:24:28 xxx sshd[98226]: Invalid user kylix from 85.187.128.4
Feb 12 01:24:31 xxx sshd[98232]: Invalid user mov from 85.187.128.4
Feb 12 01:24:33 xxx sshd[98234]: Invalid user be from 85.187.128.4
Если он за NAT, то это не глухо, через этот NAT проброшен ведь порт 5060? Значит от нета не отключен, значит сканируется снаружи на предмет открытого порта 5060, стало быть туда можно вдувать всё что угодно. Я так понимаю, что ssh тоже проброшен, иначе как подбирают?
Re: Взломали asterisk
Да. Всё верно. Проброшен Астериск через ipfw (стандартно) и ssh, но "гостевых и дефолтных" каналов в Астере наружу нет (надеюсь) и сам доступ в Интернет открываю на 10-15 минут только для aptitude update/upgrade. Я это имел ввиду.
ded, спасибо за наводки.
Всё. Закрыл правила.
ded, спасибо за наводки.
Всё. Закрыл правила.
