.titleBar { margin-bottom: 5px!important; }

Seltsame Einträge in der log

Dieses Thema im Forum "Asterisk Allgemein" wurde erstellt von fowe, 6 Jan. 2009.

  1. fowe

    fowe Neuer User

    Registriert seit:
    18 Aug. 2005
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo ,

    ich hab hier immer mal wieder komisch Einträge in der messages ...

    Code:
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"xxxxxx666"<sip:xxxxxx666@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"0"<sip:0@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"1"<sip:1@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"2"<sip:2@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"3"<sip:3@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"4"<sip:4@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"5"<sip:5@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"6"<sip:6@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"7"<sip:7@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"8"<sip:8@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    Jan  6 16:12:17 NOTICE[509] chan_sip.c: Registration from '"9"<sip:9@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    
    --------- bis -----
    
    Jan  6 16:14:14 NOTICE[509] chan_sip.c: Registration from '"9999"<sip:9999@xxx.xxx.58.69>' failed for 'xxx.xxx.163.108' - Username/auth name mismatch
    
    
    Keine Ahnung wer oder was das ist !?
     
  2. thisismyname

    thisismyname Neuer User

    Registriert seit:
    24 Sep. 2008
    Beiträge:
    78
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    hmmm, schaut n bischen nach BruteForce aus. Im klartext, was ich eigendlich sowieso denke das gemacht wird:

    Jemand scannt nach offenem Port 5060 und schickt dann Registers ohne Passwort oder Invites an irgendwelche Adressen dorthin...

    Koennte mich natuerlich irren, aber vielleicht hat wer aus nem aehnlichen Bereich aehnliche Logs???


    greetz
     
  3. kombjuder

    kombjuder IPPF-Promi

    Registriert seit:
    2 Nov. 2004
    Beiträge:
    3,086
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Weil am Rhein
    Es gibt alle Arten von Angriffen. Ich habe derzeit immer wieder Versuche über h323 einzudringen.
    Oder sehr beliebt, zu versuchen ob man über den default-context durchrufen kann.
     
  4. fowe

    fowe Neuer User

    Registriert seit:
    18 Aug. 2005
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Was kann ich(man) da tun ?
     
  5. thisismyname

    thisismyname Neuer User

    Registriert seit:
    24 Sep. 2008
    Beiträge:
    78
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Naja, es ist ja nichts passiert.

    Trotzdem kannst du was tun.
    Schliesse deinen TCp Port 5060. Ich koennte mir Vorstellen das nach diesem Port gesucht wird. UDP-Ports sind nicht so einfach zu scannen. Normalerweise nutzt man aber nur den UDP-Port, auch zur Signalisierung. Also entweder sag Asterisk das er nur auf UDP 5060 lauscht, oder schliesse den TCP-Port per IPTables. Ich denke das muesste Zukuenftige Scans unterbinden.

    Grundsäzlich koenntest du auch nur bestimmten IPs den Kontakt zu Port 5060 erlauben. Entweder du hast eine feste IP-Adresse von der du immer kommst, dann ist es einfach. Oder du kommst per DSL, also dialin, dann hast du immer eine andere IP. Aber grob im selben Bereich. Dann koenntest du den frei geben.

    Ich denke aber solange du gute Passwoerter vergibts und keine Default Extensions erlaubst hast du nichts zu befuerchten.

    greetz myname
     
  6. fowe

    fowe Neuer User

    Registriert seit:
    18 Aug. 2005
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    was meinst du damit ?
     
  7. thisismyname

    thisismyname Neuer User

    Registriert seit:
    24 Sep. 2008
    Beiträge:
    78
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Nunja, wenn deine extensions.conf so aussehen sollte:

    ...
    [default]

    exten => _X,1,Dial(SIP/XXX);
    ...

    Dann kann jeder, OHNE ANGEMELDUNG über deinen Asterisk-Server telefonieren. (Berichtigt mich bitte wenn ich flasch liege)

    greetz
     
  8. kombjuder

    kombjuder IPPF-Promi

    Registriert seit:
    2 Nov. 2004
    Beiträge:
    3,086
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Weil am Rhein
    Auf deine Kosten telefonieren.

    Wenn Asterisk einen Anruf erhält, für den er keine Regel hat, gibt er den Anruf an den Kontext default zur weiteren Bearbeitung.

    Wenn da ein Ziel besteht wird die Verbindung hergestellt, ansonsten gibt es eine Fehlermeldung. Im Klartext:

    ich mache einen Anruf an SIP:0900sauteuer@deine ip-Adresse und in deinem Kontext default steht verbinde 0X. zum Festnetzanschluß, dann rufe ich 0900sauteuer auf deine Kosten an.

    Also in [default] niemals die Möglichkeit bieten, nach draussen zu telefonieren, auch nicht über ein include oder goto oder ...
     
  9. woprr

    woprr Aktives Mitglied

    Registriert seit:
    10 Juni 2007
    Beiträge:
    2,876
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    http://www.ip-phone-forum.de/showthread.php?t=213193