Seltsame Einträge in der log

[fowe]

Hallo ,

ich hab hier immer mal wieder komisch Einträge in der messages ...

Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"xxxxxx666"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"0"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"1"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"2"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"3"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"4"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"5"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"6"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"7"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"8"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"9"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch

--------- bis -----

Jan  6 16:14:14 NOTICE[509] chan_sip.c: Registration from '"9999"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch

Keine Ahnung wer oder was das ist !?

 

[thisismyname]

hmmm, schaut n bischen nach BruteForce aus. Im klartext, was ich eigendlich sowieso denke das gemacht wird:

Jemand scannt nach offenem Port 5060 und schickt dann Registers ohne Passwort oder Invites an irgendwelche Adressen dorthin...

Koennte mich natuerlich irren, aber vielleicht hat wer aus nem aehnlichen Bereich aehnliche Logs???


greetz

 

[kombjuder]

Koennte mich natuerlich irren, aber vielleicht hat wer aus nem aehnlichen Bereich aehnliche Logs???

Es gibt alle Arten von Angriffen. Ich habe derzeit immer wieder Versuche über h323 einzudringen.
Oder sehr beliebt, zu versuchen ob man über den default-context durchrufen kann.

 

[fowe]

Was kann ich(man) da tun ?

 

[thisismyname]

Was kann ich(man) da tun ?

Naja, es ist ja nichts passiert.

Trotzdem kannst du was tun.
Schliesse deinen TCp Port 5060. Ich koennte mir Vorstellen das nach diesem Port gesucht wird. UDP-Ports sind nicht so einfach zu scannen. Normalerweise nutzt man aber nur den UDP-Port, auch zur Signalisierung. Also entweder sag Asterisk das er nur auf UDP 5060 lauscht, oder schliesse den TCP-Port per IPTables. Ich denke das muesste Zukuenftige Scans unterbinden.

Grundsäzlich koenntest du auch nur bestimmten IPs den Kontakt zu Port 5060 erlauben. Entweder du hast eine feste IP-Adresse von der du immer kommst, dann ist es einfach. Oder du kommst per DSL, also dialin, dann hast du immer eine andere IP. Aber grob im selben Bereich. Dann koenntest du den frei geben.

Ich denke aber solange du gute Passwoerter vergibts und keine Default Extensions erlaubst hast du nichts zu befuerchten.

greetz myname

 

[fowe]

und keine Default Extensions erlaubst ......

was meinst du damit ?

 

[thisismyname]

was meinst du damit ?

Nunja, wenn deine extensions.conf so aussehen sollte:

...
[default]

exten => _X,1,Dial(SIP/XXX);
...

Dann kann jeder, OHNE ANGEMELDUNG über deinen Asterisk-Server telefonieren. (Berichtigt mich bitte wenn ich flasch liege)

greetz

 

[kombjuder]

Was kann ich(man) da tun ?

Auf deine Kosten telefonieren.

Wenn Asterisk einen Anruf erhält, für den er keine Regel hat, gibt er den Anruf an den Kontext default zur weiteren Bearbeitung.

Wenn da ein Ziel besteht wird die Verbindung hergestellt, ansonsten gibt es eine Fehlermeldung. Im Klartext:

ich mache einen Anruf an SIP:0900sauteuer@deine ip-Adresse und in deinem Kontext default steht verbinde 0X. zum Festnetzanschluß, dann rufe ich 0900sauteuer auf deine Kosten an.

Also in [default] niemals die Möglichkeit bieten, nach draussen zu telefonieren, auch nicht über ein include oder goto oder ...

 

[woprr]

Hallo ,

ich hab hier immer mal wieder komisch Einträge in der messages ...

Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"xxxxxx666"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"0"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch

--------- bis -----

Jan  6 16:14:14 NOTICE[509] chan_sip.c: Registration from '"9999"<sip:[email protected]>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch

Was kann ich(man) da tun ?

http://www.ip-phone-forum.de/showthread.php?t=213193