- Mitglied seit
- 5 Dez 2005
- Beiträge
- 1,844
- Punkte für Reaktionen
- 0
- Punkte
- 36
Guten Morgen Gemeinde,
ich habe gerade bei Routine-Wartungsarbeiten an einem Asterisk Server etwas verwirrendes gesehen - ggf. bin ich auch noch müde?
Der Server verfügt über die 7 Sicherheitsregeln, fail2ban und zahlreiche VPN Verbindungen.
Der Nutzer 1000 ist unbekannt, das Log schreibt sogar einige Versuche mit User 1001 und 100 auf.
Ich werde das Ganze nun einmal im Auge behalten, ggf. ist es ja nur ein fehlkonfiguriertes Device was vorher im VPN stand und nunmehr am Serverstandort raus- und wieder reingeht. Aber 1000, 1001 oder 100 hören sich schon sehr nach BruteForce an..es sind ca. 300 Versuche über 6 Tage, also kein Spammer.
Ist es technisch machbar das man dem System von außen vorgaukelt das es die eigene IP ist, diese würde fail2ban ja nicht bannen..
Grüsse, Stefan
ich habe gerade bei Routine-Wartungsarbeiten an einem Asterisk Server etwas verwirrendes gesehen - ggf. bin ich auch noch müde?
Code:
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=97aebcfa
[2013-10-11 08:25:53] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=97aebcfa
[2013-10-11 09:45:10] NOTICE[3567] chan_sip.c: Sending fake auth rejection for user 1000<sip:1000@die-öffentliche-ip>;tag=94e0def7
Der Server verfügt über die 7 Sicherheitsregeln, fail2ban und zahlreiche VPN Verbindungen.
Der Nutzer 1000 ist unbekannt, das Log schreibt sogar einige Versuche mit User 1001 und 100 auf.
Ich werde das Ganze nun einmal im Auge behalten, ggf. ist es ja nur ein fehlkonfiguriertes Device was vorher im VPN stand und nunmehr am Serverstandort raus- und wieder reingeht. Aber 1000, 1001 oder 100 hören sich schon sehr nach BruteForce an..es sind ca. 300 Versuche über 6 Tage, also kein Spammer.
Ist es technisch machbar das man dem System von außen vorgaukelt das es die eigene IP ist, diese würde fail2ban ja nicht bannen..
Grüsse, Stefan