[Frage] [HACKING-REJECT] Brute-Force mit der eigenen öffentlichen IP - kennt ihr (geht) das?

HobbyStern

Aktives Mitglied
Mitglied seit
5 Dez 2005
Beiträge
1,844
Punkte für Reaktionen
0
Punkte
36
Guten Morgen Gemeinde,

ich habe gerade bei Routine-Wartungsarbeiten an einem Asterisk Server etwas verwirrendes gesehen - ggf. bin ich auch noch müde?

Code:
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=97aebcfa
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=97aebcfa
[2013-10-11 09:45:10] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=94e0def7

Der Server verfügt über die 7 Sicherheitsregeln, fail2ban und zahlreiche VPN Verbindungen.

Der Nutzer 1000 ist unbekannt, das Log schreibt sogar einige Versuche mit User 1001 und 100 auf.
Ich werde das Ganze nun einmal im Auge behalten, ggf. ist es ja nur ein fehlkonfiguriertes Device was vorher im VPN stand und nunmehr am Serverstandort raus- und wieder reingeht. Aber 1000, 1001 oder 100 hören sich schon sehr nach BruteForce an..es sind ca. 300 Versuche über 6 Tage, also kein Spammer.

Ist es technisch machbar das man dem System von außen vorgaukelt das es die eigene IP ist, diese würde fail2ban ja nicht bannen..

Grüsse, Stefan
 
Moin

Das sieht nach einem Registrirungsversuch aus, und natürlich wird dafür die öffentliche IP benötigt.
Im sip debug sollte die IP des Registrierungsversuchers auftauchen.
 
Zuletzt bearbeitet:
Hi Ihr Zwei,

spaßeshalber habe ich mir die UserIDs wirklich mal angesehen, aber das passt nicht - die UID in Verbdg mit einer Asterisk Registration klingelt bei mir auch nicht wirklich - existiert da eine Brücke?

@koyaanisqatsi
Abwehrversuche á la fake auth kommen von iptables immer mit der angreifenden öffentlichen Adresse, es ist ja ein fail2ban Filter genau darauf zu reagieren. Steht da die eigene öffentliche IP wird fail2ban ja nicht zuschlagen, so könnte man fail2ban umgehen, daher mein Augenmerk. Aufgrund der Last am Server ist ein SIP Debug für mehr als eine Stunde mit dem einzigen Muster des Users aktuell für mich etwas viel. Bisher wird ja brav geblockt, jedoch trafen auch nach dem ersten Post noch FAKE AUTH-Einträge ein....

koyaanisqatsi wird schon Recht haben - ein sip debug würde Klarheit schaffen...

Grüsse, Stefan
 

Neueste Beiträge

Statistik des Forums

Themen
244,695
Beiträge
2,216,690
Mitglieder
371,314
Neuestes Mitglied
Gjorstn
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.