[Frage] [HACKING-REJECT] Brute-Force mit der eigenen öffentlichen IP - kennt ihr (geht) das?

HobbyStern

Aktives Mitglied
Mitglied seit
5 Dez 2005
Beiträge
1,837
Punkte für Reaktionen
0
Punkte
36
Guten Morgen Gemeinde,

ich habe gerade bei Routine-Wartungsarbeiten an einem Asterisk Server etwas verwirrendes gesehen - ggf. bin ich auch noch müde?

Code:
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:[email protected]öffentliche-ip>;tag=97aebcfa
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:[email protected]öffentliche-ip>;tag=97aebcfa
[2013-10-11 09:45:10] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:[email protected]öffentliche-ip>;tag=94e0def7

Der Server verfügt über die 7 Sicherheitsregeln, fail2ban und zahlreiche VPN Verbindungen.

Der Nutzer 1000 ist unbekannt, das Log schreibt sogar einige Versuche mit User 1001 und 100 auf.
Ich werde das Ganze nun einmal im Auge behalten, ggf. ist es ja nur ein fehlkonfiguriertes Device was vorher im VPN stand und nunmehr am Serverstandort raus- und wieder reingeht. Aber 1000, 1001 oder 100 hören sich schon sehr nach BruteForce an..es sind ca. 300 Versuche über 6 Tage, also kein Spammer.

Ist es technisch machbar das man dem System von außen vorgaukelt das es die eigene IP ist, diese würde fail2ban ja nicht bannen..

Grüsse, Stefan
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,706
Punkte für Reaktionen
515
Punkte
113
Moin

Das sieht nach einem Registrirungsversuch aus, und natürlich wird dafür die öffentliche IP benötigt.
Im sip debug sollte die IP des Registrierungsversuchers auftauchen.
 
Zuletzt bearbeitet:

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
8,014
Punkte für Reaktionen
28
Punkte
48

HobbyStern

Aktives Mitglied
Mitglied seit
5 Dez 2005
Beiträge
1,837
Punkte für Reaktionen
0
Punkte
36
Hi Ihr Zwei,

spaßeshalber habe ich mir die UserIDs wirklich mal angesehen, aber das passt nicht - die UID in Verbdg mit einer Asterisk Registration klingelt bei mir auch nicht wirklich - existiert da eine Brücke?

@koyaanisqatsi
Abwehrversuche á la fake auth kommen von iptables immer mit der angreifenden öffentlichen Adresse, es ist ja ein fail2ban Filter genau darauf zu reagieren. Steht da die eigene öffentliche IP wird fail2ban ja nicht zuschlagen, so könnte man fail2ban umgehen, daher mein Augenmerk. Aufgrund der Last am Server ist ein SIP Debug für mehr als eine Stunde mit dem einzigen Muster des Users aktuell für mich etwas viel. Bisher wird ja brav geblockt, jedoch trafen auch nach dem ersten Post noch FAKE AUTH-Einträge ein....

koyaanisqatsi wird schon Recht haben - ein sip debug würde Klarheit schaffen...

Grüsse, Stefan
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via