Страница 3 из 3
Re: Взломали asterisk
Добавлено: 12 фев 2012, 14:02
ded
Уже пора
egrep 89.187.53.226 по текстам конфигов и кода, - вычислить весёлых молдаван, ну и америкосов.
Re: Взломали asterisk
Добавлено: 12 фев 2012, 14:57
defekt
root@sag:/var/log/asterisk# egrep 89.187.53.226 /var/log/asterisk/messages
Код: Выделить всё
[Feb 12 10:21:04] NOTICE[23637] chan_sip.c: Sending fake auth rejection for device "unknown" <sip:unknown@89.187.53.226>;tag=lQnUmaviVc
[Feb 12 10:21:04] WARNING[23637] chan_sip.c: sip_xmit of 0x7f5ff0002ad0 (len 566) to 89.187.53.226:5060 returned -2: Network is unreachable
, по текстам каких конфигов и кодов (сорри, нуб)? На шлюзе NAT посмотрел все логи - таких из Молдовы нет.
Например, на фрях (NAT) в:
выхлоп нулевой.
Зато из Болгарии гости пытались ssh подобрать...
Код: Выделить всё
Feb 12 01:24:28 xxx sshd[98226]: Invalid user kylix from 85.187.128.4
Feb 12 01:24:31 xxx sshd[98232]: Invalid user mov from 85.187.128.4
Feb 12 01:24:33 xxx sshd[98234]: Invalid user be from 85.187.128.4
Feb 12 01:24:35 xxx sshd[98238]: Invalid user richard from 85.187.128.4
Вообще реально вычислить гостей из Молдовы? Просто спортивного интереса ради.
Snort ставить разве что? Информативности стандартных логов в поимке, видать, не достаточно.
Re: Взломали asterisk
Добавлено: 12 фев 2012, 15:16
ded
Два утверждения -
defekt писал(а):Вброс по тематике "лома". Мой Астериск в Интернет не смотрит. Сидит глухо за NAT. От нета отключён.
и
defekt писал(а):Зато из Болгарии гости пытались ssh подобрать...
Feb 12 01:24:28 xxx sshd[98226]: Invalid user kylix from 85.187.128.4
Feb 12 01:24:31 xxx sshd[98232]: Invalid user mov from 85.187.128.4
Feb 12 01:24:33 xxx sshd[98234]: Invalid user be from 85.187.128.4
прямо противоречат друг другу.
Если он за NAT, то это не глухо, через этот NAT проброшен ведь порт 5060? Значит от нета не отключен, значит сканируется снаружи на предмет открытого порта 5060, стало быть туда можно вдувать всё что угодно. Я так понимаю, что ssh тоже проброшен, иначе как подбирают?
Re: Взломали asterisk
Добавлено: 12 фев 2012, 15:40
defekt
Да. Всё верно. Проброшен Астериск через ipfw (стандартно) и ssh, но "гостевых и дефолтных" каналов в Астере наружу нет (надеюсь) и сам доступ в Интернет открываю на 10-15 минут только для aptitude update/upgrade. Я это имел ввиду.
ded, спасибо за наводки.
Всё. Закрыл правила.