Me han robado

104 views
Skip to first unread message

Doug Carrillo

unread,
May 29, 2010, 12:50:57 AM5/29/10
to aster...@googlegroups.com
Hola amigos.
Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83 ingreso a mi servidor y no se como logro encontrar una extension y averiguo la clave y se registro!!
 
[May 26 14:13:52] VERBOSE[3409] logger.c:     -- Registered SIP '1098' at 200.118.159.83 port 5060
[May 26 14:13:58] VERBOSE[16136] logger.c:     -- Executing [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60", "user-callerid|SKIPTTL|") in new stack
Como restringir que asterisk permita a la extension ejemplo 1098 se pueda registrar de una ip unicamente?
 
Como alguien pudo investigar la extension y la clave, me refiero, hay atakes de fuerza bruta? se puede cerrar el asterisk para que si fallan dos veces la clave se cierre por un tiempo? como se hace en el ssh?
 
Gracias
 
Ahh el destino fue solamente Cuba... Que extraño
 
 

Jon Bonilla

unread,
May 29, 2010, 2:16:28 AM5/29/10
to aster...@googlegroups.com
El Fri, 28 May 2010 22:50:57 -0600
Doug Carrillo <doug.ca...@gmail.com> escribió:


Ha habido avisos estas úñtimas semanas de ataques de fuerza bruta desde
servidores de Amazon.

Echa un vistazo al blog de Elio y a los comentarios, que también apuntan
soluciones interesantes.

Alégrate de que sólo hayan sido $800. Podría ser peor (s ieso te sirve de
consuelo)

http://www.sinologic.net/blog/2010-05/fbi-avisa-ataque-masivo-voip/
http://www.sinologic.net/blog/2010-05/sipcheck-vigila-quien-intenta-registrarse-en-tu-asterisk/
http://www.sinologic.net/proyectos/asterisk/checkSecurity/
http://www.fail2ban.org/wiki/index.php/Main_Page
http://www.voip-info.org/wiki/view/Asterisk+config+sip.conf#SIPconfigurationspeersandclients

Paco Gil

unread,
May 29, 2010, 2:39:39 AM5/29/10
to aster...@googlegroups.com
2010/5/29 Doug Carrillo <doug.ca...@gmail.com>:

de extraño nada... es bien caro ese destino. "Parece" que fue algún colmbiano:

IP : 200.118.159.83 Neighborhood
Host : dynamic-ip-cr20011815983.cable.net.co
País : Colombia


>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en directo sobre
> VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripción: asterisk-es...@googlegroups.com
>

Enrique Zurita

unread,
May 29, 2010, 2:39:28 AM5/29/10
to aster...@googlegroups.com
Soy nuevo en esto pero creo haber visto que en la creacion de las
extensiones hay un campo que dice Host Dynamc que sirve para indicar
si el usuario puede registrarse (logonearse) desde cualquier
maquina... El uso de VPNs tambien ayuda.

Saludos
Omar

El 28/05/10, Doug Carrillo <doug.ca...@gmail.com> escribió:

> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en directo sobre
> VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripción: asterisk-es...@googlegroups.com
>

--
Enviado desde mi dispositivo móvil

Elio Rojano

unread,
May 29, 2010, 6:17:22 AM5/29/10
to aster...@googlegroups.com


El 29 de mayo de 2010 08:39, Paco Gil <pag...@gmail.com> escribió:
2010/5/29 Doug Carrillo <doug.ca...@gmail.com>:
> Hola amigos.
> Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83 ingreso
> a mi servidor y no se como logro encontrar una extension y averiguo la clave
> y se registro!!
>
> [May 26 14:13:52] VERBOSE[3409] logger.c:     -- Registered SIP '1098' at
> 200.118.159.83 port 5060
> [May 26 14:13:58] VERBOSE[16136] logger.c:     -- Executing
> [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60",
> "user-callerid|SKIPTTL|") in new stack
> Como restringir que asterisk permita a la extension ejemplo 1098 se pueda
> registrar de una ip unicamente?
>
> Como alguien pudo investigar la extension y la clave, me refiero, hay atakes
> de fuerza bruta? se puede cerrar el asterisk para que si fallan dos veces la
> clave se cierre por un tiempo? como se hace en el ssh?
>
> Gracias
>
> Ahh el destino fue solamente Cuba... Que extraño

de extraño nada... es bien caro ese destino. "Parece" que fue algún colmbiano:

IP      :       200.118.159.83       Neighborhood
Host    :       dynamic-ip-cr20011815983.cable.net.co
País    :       Colombia


No es extraño que llamen a Cuba, de hecho también hace tiempo que venía avisándolo:
http://www.sinologic.net/blog/2009-02/la-voip-mal-configurada-llama-a-cuba/

Sólo que parece que han mejorado su sistema y ahora utilizan fuerza bruta.

Por cierto, no atacan directamente (no creo que sea esa IP) si no que utilizan sistemas vulnerables para lanzar sus ataques desde estos sistemas.

--
http://www.sinologic.net/

Elio Rojano

unread,
May 29, 2010, 6:18:55 AM5/29/10
to aster...@googlegroups.com
El 29 de mayo de 2010 08:39, Enrique Zurita <eozuritab...@gmail.com> escribió:
Soy nuevo en esto pero creo haber visto que en la creacion de las
extensiones hay un campo que dice Host Dynamc que sirve para indicar
si el usuario puede registrarse (logonearse) desde cualquier
maquina... El uso de VPNs tambien ayuda.

Saludos
Omar

El parámetro host=dynamic es normal.
Lo que igual puede ayudar son los parámetros 'deny' y 'permit'
y por supuesto no utilizar una contraseña trivial.
 
--
http://www.sinologic.net/

Germán Aracil Boned

unread,
May 29, 2010, 6:34:04 AM5/29/10
to aster...@googlegroups.com
Hay ataques a fuerza bruta con intentos de registro.
Hay ataques hacia accesos web con claves por defecto.

Has tenido mucha suerte de que solo sean $800 y no $60000


Doug Carrillo escribi�:

> Ahh el destino fue solamente Cuba... Que extra�o


>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en directo
> sobre VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> - Para anular la suscripci�n: asterisk-es...@googlegroups.com

--

-
-------------------------------------
Germ�n Aracil Boned

Alg�n d�a reconocer�n las masas,
que el software libre,
es un libro lleno de conocimientos,
escrito por el mundo, para el mundo.
Solo entonces desaparecer� la tiran�a privativa,
haci�ndonos tecnol�gicamente democr�ticos y libres.

www.zoonsuite.com
963146030 - General
963146031 - Asistencia de incidencias
963146032 - FAX
-------------------------------------
-

Angel

unread,
May 29, 2010, 7:21:38 AM5/29/10
to aster...@googlegroups.com

Hmmm..... betamax al acecho no ???


El sáb, 29-05-2010 a las 12:34 +0200, Germán Aracil Boned escribió:
> Hay ataques a fuerza bruta con intentos de registro.
> Hay ataques hacia accesos web con claves por defecto.
>
> Has tenido mucha suerte de que solo sean $800 y no $60000
>
>

> Doug Carrillo escribió:


> > Hola amigos.
> > Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83
> > ingreso a mi servidor y no se como logro encontrar una extension y
> > averiguo la clave y se registro!!
> >
> > [May 26 14:13:52] VERBOSE[3409] logger.c: -- Registered SIP '1098'
> > at 200.118.159.83 port 5060
> > [May 26 14:13:58] VERBOSE[16136] logger.c: -- Executing
> > [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60",
> > "user-callerid|SKIPTTL|") in new stack
> > Como restringir que asterisk permita a la extension ejemplo 1098 se
> > pueda registrar de una ip unicamente?
> >
> > Como alguien pudo investigar la extension y la clave, me refiero, hay
> > atakes de fuerza bruta? se puede cerrar el asterisk para que si fallan
> > dos veces la clave se cierre por un tiempo? como se hace en el ssh?
> >
> > Gracias
> >

> > Ahh el destino fue solamente Cuba... Que extraño


> >
> >
> >
> > --
> > Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
> >
> > Entra ahora en el canal de irc de Asterisk-ES para charlar en directo
> > sobre VoIP y
> > Asterisk: http://www.asterisk-es.org/
> >
> > ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> > http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> > ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> > - Para anular la suscripción: asterisk-es...@googlegroups.com
>
> --
>
>
>
> -
> -------------------------------------
> Germán Aracil Boned
>
> Algún día reconocerán las masas,


> que el software libre,
> es un libro lleno de conocimientos,
> escrito por el mundo, para el mundo.

> Solo entonces desaparecerá la tiranía privativa,
> haciéndonos tecnológicamente democráticos y libres.

Iñaki Baz Castillo

unread,
May 29, 2010, 8:06:37 AM5/29/10
to aster...@googlegroups.com
El día 29 de mayo de 2010 12:18, Elio Rojano <hel...@gmail.com> escribió:
> El parámetro host=dynamic es normal.
> Lo que igual puede ayudar son los parámetros 'deny' y 'permit'
> y por supuesto no utilizar una contraseña trivial.

Si pones "host=ALGUNA_IP" dicho peer sólo podrá registrarse y hacer
llamadas desde dicha IP. (y se le exigirá autenticación igualmente,
claro).

--
Iñaki Baz Castillo
<i...@aliax.net>

LoThaR

unread,
May 29, 2010, 8:36:29 AM5/29/10
to aster...@googlegroups.com
El robo de llamadas VoIP de este tipo lamentablemente son habituales.

Y el destino que roban normalmente es cuba (el más caro).

Te aclaro que lo de la IP es relativo. Esto normalmente lo hacen
Voiperos tranfugas, y se conectan desde difererntes lugares. Imagina
que 1 persona no puede hablar 800 €. Lo revende y lo multiplica por 2
o 3.

Lo mejor, es habilitar acceso por IPs. Es el acceso más difícil de sortear.

Y generate alertas de exceso de consumo.

Realmente, tuviste bastante suerte conozco casos reales de hasta 60.000 €.

Saludos.


El 29/05/10, Angel <cr...@craem.net> escribió:

Raúl Alexis Betancor Santana

unread,
May 29, 2010, 9:08:20 AM5/29/10
to aster...@googlegroups.com
On Saturday 29 May 2010 13:36:29 LoThaR wrote:
> El robo de llamadas VoIP de este tipo lamentablemente son habituales.
>
> Y el destino que roban normalmente es cuba (el más caro).

Cuba es uno de los más caros, pero no el más caro precisamente ... :)

> Y generate alertas de exceso de consumo.

Esto es importantísimo, tener un buen sistema de alarmas, que avise sobre
consumos no "habituales", para poder avisar al cliente o bloquear ese
tráfico.

> Realmente, tuviste bastante suerte conozco casos reales de hasta 60.000 €.

Esta semana, le han rebentado a un cliente nuestro su asterisk ... 1200€ de
llamadas a Liberia en 4 horas ... lo flipante es que los tipos intentaron
meter hasta 60 llamadas simultáneas por un asterisk que tiene una conexión de
2Mb/512Kb ... XDD

--
Raúl Alexis Betancor Santana
Dimensión Virtual

Jaume Olivé Petrus

unread,
May 29, 2010, 9:19:11 AM5/29/10
to aster...@googlegroups.com
Uana cosa,

Cuando estas cosas pasan:

* Denunciar el hecho ante la policía nacional, guardia civil o policía autonomía, según la comunidad
* Lo anterior es vital para evitar responsabilidades hacia un uso delictivo de la llamada (más allá del propio robo), me refiero a narcotráfico, terrorismo, etc ...
* Denunciar el hecho a la brigada de delitos informáticos de la policía nacional, adjuntando, ip, logs, hora del ataque, etc ...

------

Jaume olivé

Jaume Olivé Petrus

unread,
May 29, 2010, 9:22:23 AM5/29/10
to aster...@googlegroups.com
También es importante definir bien las reglas de salida en nuestro dial plan, según la actividad de la empresa que tenga el asterisk.

Permitir, por ejemplo que una pizzería pueda llamar a todo el mundo mundial no tiene mucho sentido.

Hay muchas empresas que por su negocio no necesitan llamar al extranjero, pues a estas se les capa el tema.

-----

Jaume olivé

El 29/05/2010, a las 15:08, Raúl Alexis Betancor Santana <ra...@dimension-virtual.com> escribió:

Raúl Alexis Betancor Santana

unread,
May 29, 2010, 9:34:52 AM5/29/10
to aster...@googlegroups.com
On Saturday 29 May 2010 14:19:11 Jaume Olivé Petrus wrote:
> Uana cosa,
>
> Cuando estas cosas pasan:
>
> * Denunciar el hecho ante la policía nacional, guardia civil o policía
> autonomía, según la comunidad * Lo anterior es vital para evitar
> responsabilidades hacia un uso delictivo de la llamada (más allá del propio
> robo), me refiero a narcotráfico, terrorismo, etc ... * Denunciar el hecho
> a la brigada de delitos informáticos de la policía nacional, adjuntando,
> ip, logs, hora del ataque, etc ...

Totalmente de acuerdo ... pero nuestro negocio es el trunking SIP, es el
cliente quien conecta y configura sus equipos ... no nostros, no es nuestra
responsabilidad .. ;-)

Nuestra responsabilidad acaba en avisarle desde que lo detectamos, que hay un
tráfico anómalo en su cuenta.

Jaume Olivé Petrus

unread,
May 29, 2010, 10:26:35 AM5/29/10
to aster...@googlegroups.com
Lo del sip trunking está claro, pero no tengo yo tan claro que si instalas un asterisk a alguien y le pase esto que estés 100% libre de culpa, a no ser que te firmen un mega-algo.

-----

Jaume olivé

Iñaki Baz Castillo

unread,
May 29, 2010, 10:33:55 AM5/29/10
to aster...@googlegroups.com
El día 29 de mayo de 2010 15:34, Raúl Alexis Betancor Santana
<ra...@dimension-virtual.com> escribió:

> Totalmente de acuerdo ... pero nuestro negocio es el trunking SIP, es el
> cliente quien conecta y configura sus equipos ... no nostros, no es nuestra
> responsabilidad .. ;-)

Una posibilidad (es lo que yo hago en los clientes trunk) es
configurar un sistema de listas negras (globales y por cliente) en
nuestro proxy al que las PBX's o gateways del cliente se conecta, de
tal forma que se deniega acceso a ciertas numeraciones o prefijos
internacionales.

Por supuesto esto no evita que el cliente tenga su PBX al garete, le
entren y le hagan un agujero de miles de euros en llamadas a España o
donde fuere.

Raúl Alexis Betancor Santana

unread,
May 29, 2010, 10:38:23 AM5/29/10
to aster...@googlegroups.com
On Saturday 29 May 2010 15:26:35 Jaume Olivé Petrus wrote:
> Lo del sip trunking está claro, pero no tengo yo tan claro que si instalas
> un asterisk a alguien y le pase esto que estés 100% libre de culpa, a no
> ser que te firmen un mega-algo.


Pero es que no lo instalamos nosotros ..., ;-) .. por eso digo lo que nuestra
responsabilidad acaba en avisarle. De hecho, los operadores tradicionales ni
te avisan .. te encuentras el puro en la factura del mes.

Saludos

Jaume Olive

unread,
May 29, 2010, 10:46:50 AM5/29/10
to aster...@googlegroups.com
Vamos a ver .....

Que yo no digo vosotros.

Que en la lista hay gente que instala asterisk y no son operadores.


Jaume Olivé
Iberoxarxa Servicios Integrales, S.L.
http://www.Iberoxarxa.es

El 29/05/2010, a las 16:38, Raúl Alexis Betancor Santana <ra...@dimension-virtual.co
m> escribió:

> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org
> )
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en
> directo sobre VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES:
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> - Para anular la suscripción: asterisk-es-unsubscribe@googlegroups.c
> om

Germán Aracil Boned

unread,
May 29, 2010, 1:20:26 PM5/29/10
to aster...@googlegroups.com

Ra�l Alexis Betancor Santana escribi�:


> Pero es que no lo instalamos nosotros ..., ;-) .. por eso digo lo que nuestra
> responsabilidad acaba en avisarle. De hecho, los operadores tradicionales ni
> te avisan .. te encuentras el puro en la factura del mes.


jajajaj los tradicionales .. los hay que hasta te piden X miles de
euros, por darte determinada cantidad de canales, porque son incapaces
de marcar un l�mite en el consumo. Y si te roban, se garantizan que
cobran sino todo, una parte de lo robado. Y tu como cliente, aceptando
esas reglas, te garantizas no solo el robo de minutos, sino el robo
econ�mico. Ya que no vuelves a ver ese dinero.

Deber�a por ley, obligarse a negociar un l�mite mensual de consumo
econ�mico, ya sea hacia cliente final, o peque�o operador en las
interconexiones. Con protecci�n y bloqueo en caso de superarse.

Otra cosa que no comprendo, es porque alguien peque�o como yo, aplica
ese l�mite, y en cambio, un mega operador es incapaz de hacerlo con su
sistema. No ser� que no les interesa y no que no podr�an hacerlo ?

--

-
-------------------------------------
Germ�n Aracil Boned

Alg�n d�a reconocer�n las masas,


que el software libre,
es un libro lleno de conocimientos,
escrito por el mundo, para el mundo.

Solo entonces desaparecer� la tiran�a privativa,

haci�ndonos tecnol�gicamente democr�ticos y libres.

Germán Aracil Boned

unread,
May 31, 2010, 4:05:44 AM5/31/10
to aster...@googlegroups.com
Al hilo de �ste hilo ..

Que fuerte !!!

Estoy con en un servidor de desarrollos, programando unos m�dulos y con
el servicio SIP activo 5 minutos !!! Y ya me estaban intentando
registrar !!!!

jajajaja .. creo que es de guines !!

kampos

unread,
May 31, 2010, 7:19:16 AM5/31/10
to aster...@googlegroups.com
Esta mañana he detectado también en uno de mis servidores desde 209.42.57.144.

Buff como está el patio.

El día 31 de mayo de 2010 10:05, Germán Aracil Boned
<ger...@tecnoxarxa.com> escribió:
> Al hilo de éste hilo ..
>
> Que fuerte !!!
>
> Estoy con en un servidor de desarrollos, programando unos módulos y con el


> servicio SIP activo 5 minutos !!! Y ya me estaban intentando registrar !!!!
>
> jajajaja .. creo que es de guines !!
>
>
> --
>
>
>
>  -
>  -------------------------------------

>  Germán Aracil Boned
>
>  Algún día reconocerán las masas,


>  que el software libre,
>  es un libro lleno de conocimientos,
>  escrito por el mundo, para el mundo.

>  Solo entonces desaparecerá la tiranía privativa,

>  haciéndonos tecnológicamente democráticos y libres.


>
>  www.zoonsuite.com
>  963146030 - General
>  963146031 - Asistencia de incidencias
>  963146032 - FAX
>  -------------------------------------
>                                      -
>

Doug Carrillo

unread,
May 31, 2010, 9:48:40 AM5/31/10
to aster...@googlegroups.com
Tengo otro servidor`para dos restaurantes y se metieron pero esta vez no pudieron hacer llamadas porque el 0 por delante es para llamar al otro restaurante, jaja la salida era de tres digitos, estan por todos lados

Vladimir de la Cruz

unread,
May 31, 2010, 10:14:27 AM5/31/10
to aster...@googlegroups.com
Otras IPs desde donde se pueden recibir ataques:

 173.236.13.58
 184.73.39.77
 190.145.116.13
 190.233.88.59
 203.171.31.41
 204.236.208.53
 208.77.98.61
 213.239.201.198
 61.144.248.152
 62.193.246.110
 66.130.59.110
 70.29.193.9
 74.210.83.181
 74.94.28.201
 76.76.96.74
 79.125.74.99
 88.191.108.155
 93.113.37.186

Saludos.

Vlad.

2010/5/29 Doug Carrillo <doug.ca...@gmail.com>
 
 

--

Disckey

unread,
May 31, 2010, 10:19:18 AM5/31/10
to aster...@googlegroups.com
Buenas tardes,

Creo que habría que ir poniendo posibles medidas de seguridad para evitar
esos ataques....

Que algún entendido nos vaya indicando seria muy bueno...

Gracias por adelantado

-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de kampos
Enviado el: lunes, 31 de mayo de 2010 13:19
Para: aster...@googlegroups.com
Asunto: Re: [Asterisk-ES] Me han robado

Carlo Borelli

unread,
May 31, 2010, 10:16:39 AM5/31/10
to aster...@googlegroups.com
2010/6/1 Doug Carrillo <doug.ca...@gmail.com>



El 28 de mayo de 2010 22:50, Doug Carrillo <doug.ca...@gmail.com> escribió:

Hola amigos.
Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83 ingreso a mi servidor y no se como logro encontrar una extension y averiguo la clave y se registro!!
 
[May 26 14:13:52] VERBOSE[3409] logger.c:     -- Registered SIP '1098' at 200.118.159.83 port 5060
[May 26 14:13:58] VERBOSE[16136] logger.c:     -- Executing [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60", "user-callerid|SKIPTTL|") in new stack
Como restringir que asterisk permita a la extension ejemplo 1098 se pueda registrar de una ip unicamente?
 
[...]

A mi pasa lo contrario, ayer estube haciendo unas pruebas con LinPhone, no se que hize mal, mi servidor me sacó, y el colmo es que me avisa tambien:

Hi,

The IP xxx.xx.xx.xxx has just been banned by Fail2Ban after
5 attempts against ASTERISK.


Here are more information about xxx.xx.xx.xxx:



Regards,

Fail2Ban


Seguro que si me me prohibe al acceso a mi servidor, tambien lo hará con ataques de fuerza bruta...
Bueno, a parte de eso, lo que noté es tambien intentan de acceder con llamadas sip, solo que mas que conectarse al IVR o al grupo de internos que contesta, no pudieron...

Salu2...

--
Registered Linux User #249354
"Ad astra per aspera"
+1 305 5159371
+1 360 2152578

Ramses II

unread,
May 31, 2010, 11:05:01 AM5/31/10
to aster...@googlegroups.com
Han comentado unos enlaces muy interesantes de leer en la web de
Sinologic...

Echales un vistazo.


Saludos,

Ramses

> -----Mensaje original-----
> De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En

> nombre de Disckey
> Enviado el: lunes, 31 de mayo de 2010 16:19
> Para: aster...@googlegroups.com
> Asunto: RE: [Asterisk-ES] Me han robado

Raúl Alexis Betancor Santana

unread,
May 31, 2010, 11:22:31 AM5/31/10
to aster...@googlegroups.com
On Monday 31 May 2010 15:19:18 Disckey wrote:
> Buenas tardes,
>
> Creo que habría que ir poniendo posibles medidas de seguridad para evitar
> esos ataques....
>
> Que algún entendido nos vaya indicando seria muy bueno...

La principal y más importante ... "saber lo que se está haciendo"

Doug Carrillo

unread,
May 31, 2010, 11:25:34 AM5/31/10
to aster...@googlegroups.com
Segun lo que vi en un hilo de un tema similar es que el host.deny no funciona con Asterisk, entonces habria que trabajarlo con un muro de fuego (iptables) si lo voy a trabajar fuera del Asterisk y en el Asterisk seria con sip.conf poniendo las reglas, estoy en lo correcto?
 


 
El 28 de mayo de 2010 22:50, Doug Carrillo <doug.ca...@gmail.com> escribió:
Hola amigos.
Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83 ingreso a mi servidor y no se como logro encontrar una extension y averiguo la clave y se registro!!
 
[May 26 14:13:52] VERBOSE[3409] logger.c:     -- Registered SIP '1098' at 200.118.159.83 port 5060
[May 26 14:13:58] VERBOSE[16136] logger.c:     -- Executing [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60", "user-callerid|SKIPTTL|") in new stack
Como restringir que asterisk permita a la extension ejemplo 1098 se pueda registrar de una ip unicamente?
 

Germán Aracil Boned

unread,
May 31, 2010, 12:46:29 PM5/31/10
to aster...@googlegroups.com
Una chorrada muy tonta para intentos de llamada sin registro, es dejar
por defecto en el sip.conf un contexto donde solo exista la entrada
gen�rica Hangup

Para intentos de registro, un contador de fallidos por ip, con un
bloqueo de todo lo que viene desde esa ip es tambi�n bastante pr�ctico.

Doug Carrillo escribi�:


> Segun lo que vi en un hilo de un tema similar es que el host.deny no
> funciona con Asterisk, entonces habria que trabajarlo con un muro de
> fuego (iptables) si lo voy a trabajar fuera del Asterisk y en el
> Asterisk seria con sip.conf poniendo las reglas, estoy en lo correcto?
>
>
>
>
> El 28 de mayo de 2010 22:50, Doug Carrillo <doug.ca...@gmail.com

> <mailto:doug.ca...@gmail.com>> escribi�:


>
> Hola amigos.
> Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83
> ingreso a mi servidor y no se como logro encontrar una extension y
> averiguo la clave y se registro!!
>
> [May 26 14:13:52] VERBOSE[3409] logger.c: -- Registered SIP
> '1098' at 200.118.159.83 port 5060
> [May 26 14:13:58] VERBOSE[16136] logger.c: -- Executing
> [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60",
> "user-callerid|SKIPTTL|") in new stack
> Como restringir que asterisk permita a la extension ejemplo 1098 se
> pueda registrar de una ip unicamente?
>
> Como alguien pudo investigar la extension y la clave, me refiero,
> hay atakes de fuerza bruta? se puede cerrar el asterisk para que si
> fallan dos veces la clave se cierre por un tiempo? como se hace en
> el ssh?
>
> Gracias
>

> Ahh el destino fue solamente Cuba... Que extra�o


>
>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en directo
> sobre VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci�n: asterisk-es...@googlegroups.com

--

-
-------------------------------------
Germ�n Aracil Boned

Alg�n d�a reconocer�n las masas,


que el software libre,
es un libro lleno de conocimientos,
escrito por el mundo, para el mundo.

Solo entonces desaparecer� la tiran�a privativa,

haci�ndonos tecnol�gicamente democr�ticos y libres.

Paco Gil

unread,
May 31, 2010, 12:48:43 PM5/31/10
to aster...@googlegroups.com
nadie lo dice, pero vamos es muy conocido: Fail2ban

http://www.voztovoice.org/?q=node/135

2010/5/31 Germán Aracil Boned <ger...@tecnoxarxa.com>:


> Una chorrada muy tonta para intentos de llamada sin registro, es dejar por

> defecto en el sip.conf un contexto donde solo exista la entrada genérica


> Hangup
>
> Para intentos de registro, un contador de fallidos por ip, con un bloqueo de

> todo lo que viene desde esa ip es también bastante práctico.
>
> Doug Carrillo escribió:


>>
>> Segun lo que vi en un hilo de un tema similar es que el host.deny no
>> funciona con Asterisk, entonces habria que trabajarlo con un muro de fuego
>> (iptables) si lo voy a trabajar fuera del Asterisk y en el Asterisk seria
>> con sip.conf poniendo las reglas, estoy en lo correcto?
>>
>>
>>  El 28 de mayo de 2010 22:50, Doug Carrillo <doug.ca...@gmail.com

>> <mailto:doug.ca...@gmail.com>> escribió:


>>
>>    Hola amigos.
>>    Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83
>>    ingreso a mi servidor y no se como logro encontrar una extension y
>>    averiguo la clave y se registro!!
>>         [May 26 14:13:52] VERBOSE[3409] logger.c:     -- Registered SIP
>>    '1098' at 200.118.159.83 port 5060
>>    [May 26 14:13:58] VERBOSE[16136] logger.c:     -- Executing
>>    [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60",
>>    "user-callerid|SKIPTTL|") in new stack
>>    Como restringir que asterisk permita a la extension ejemplo 1098 se
>>    pueda registrar de una ip unicamente?
>>         Como alguien pudo investigar la extension y la clave, me refiero,
>>    hay atakes de fuerza bruta? se puede cerrar el asterisk para que si
>>    fallan dos veces la clave se cierre por un tiempo? como se hace en
>>    el ssh?
>>         Gracias

>>         Ahh el destino fue solamente Cuba... Que extraño


>>
>>
>> --
>> Este email pertenece a la lista de Asterisk-ES
>> (http://www.asterisk-es.org)
>>  Entra ahora en el canal de irc de Asterisk-ES para charlar en directo
>> sobre VoIP y
>> Asterisk: http://www.asterisk-es.org/
>>  ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
>> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

>> - Para anular la suscripción: asterisk-es...@googlegroups.com


>
> --
>
>
>
>  -
>  -------------------------------------
>  Germán Aracil Boned
>

>  Algún día reconocerán las masas,


>  que el software libre,
>  es un libro lleno de conocimientos,
>  escrito por el mundo, para el mundo.

>  Solo entonces desaparecerá la tiranía privativa,

>  haciéndonos tecnológicamente democráticos y libres.


>
>  www.zoonsuite.com
>  963146030 - General
>  963146031 - Asistencia de incidencias
>  963146032 - FAX
>  -------------------------------------
>                                      -
>

> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> Entra ahora en el canal de irc de Asterisk-ES para charlar en directo sobre
> VoIP y
> Asterisk: http://www.asterisk-es.org/
>
> ~~~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> - Para anular la suscripción: asterisk-es...@googlegroups.com
>

Phylevn

unread,
Jun 9, 2010, 10:23:25 PM6/9/10
to asterisk-es
Creo que hay que poner niveles de seguridad no solo en Asterisk si no
dentro de nuestra red para evitar esto.

La primera es no poner un * en una IP Pública o DMZ
la segunda en caso de que se quiera tener extensiones remotas, es usar
una VPN ya sea como un cliente VPN o si es un teléfono IP alguno que
soporte PPTP.
Tercera es pedir password en la marcación a números del extranjero
La cuarta que debería ser la primera nunca usar planes de marcación
XX.
La quinta usar iptables para restringir accesos de IP desconocidas a
nuestro servidor.
La sexta en lo posible usar IP Fijas en vez de dinamica.
Séptima poner en cron una aplicación que mida el consumo de alguna
extensión y lanzar mediante AMI una alerta a un teléfono.
Ocatava que debería ser la primera también nunca usar user 101
password 101.
La octava no se me ocurren más ahorita, ¿ Más recomendaciones ?.

Saúl Ibarra Corretgé

unread,
Jun 10, 2010, 2:00:42 AM6/10/10
to aster...@googlegroups.com
2010/6/10 Phylevn <filei...@gmail.com>:

> Creo que hay que poner niveles de seguridad no solo en Asterisk si no
> dentro de nuestra red para evitar esto.
>
> La primera es no poner un * en una IP Pública o DMZ

¿Por qué no? Si está bien configurado no debería de darte problemas.

> la segunda en caso de que se quiera tener extensiones remotas, es usar
> una VPN ya sea como un cliente VPN o si es un teléfono IP alguno que
> soporte PPTP.

Lo mismo que antes.

> Tercera es pedir password en la marcación a números del extranjero

Vaya coñazo cada vez que quiera marcar ¿no?

> La cuarta que debería ser la primera nunca usar planes de marcación
> XX.

De acuerdo.

> La quinta usar iptables para restringir accesos de IP desconocidas a
> nuestro servidor.

Normalmente no vas a saber desde dónde se van a conectar al servidor,
así que básicamente el mundo entero es desconocido...

> La sexta en lo posible usar IP Fijas en vez de dinamica.

¿Por?

> Séptima poner en cron una aplicación que mida el consumo de alguna
> extensión y lanzar mediante AMI una alerta a un teléfono.

Ein?

> Ocatava que debería ser la primera también nunca usar user 101
> password 101.

De acuerdo.


Saludos,

--
/Saúl
http://saghul.net | http://sipdoc.net

Germán Aracil Boned

unread,
Jun 10, 2010, 2:19:52 AM6/10/10
to aster...@googlegroups.com

Phylevn escribi�:


> Creo que hay que poner niveles de seguridad no solo en Asterisk si no
> dentro de nuestra red para evitar esto.
>

> La primera es no poner un * en una IP P�blica o DMZ

yo dir�a m�s bien: no poner un elastico con las claves por defecto en ..

> la segunda en caso de que se quiera tener extensiones remotas, es usar

> una VPN ya sea como un cliente VPN o si es un tel�fono IP alguno que
> soporte PPTP.

Que rollo !

> Tercera es pedir password en la marcaci�n a n�meros del extranjero

No. Y creo que es un claro ejemplo de como la inutilidad de un
administrador de redes, puede afectar a la facilidad de uso para los
usuarios de un servicio.

> La cuarta que deber�a ser la primera nunca usar planes de marcaci�n
> XX.

En que contexto lo dices ? :)

> La quinta usar iptables para restringir accesos de IP desconocidas a
> nuestro servidor.

Terminamos de estropear la accesibilidad del servicio.

> La sexta en lo posible usar IP Fijas en vez de dinamica.

Eso s�, pero no por seguridad.

> S�ptima poner en cron una aplicaci�n que mida el consumo de alguna
> extensi�n y lanzar mediante AMI una alerta a un tel�fono.

Comor ? Con un a2billing ? Creo m�s efectiva y real, una protecci�n del
operador con el que sales.

> Ocatava que deber�a ser la primera tambi�n nunca usar user 101
> password 101.
> La octava no se me ocurren m�s ahorita, � M�s recomendaciones ?.

La octava podr�a ser, no administrar un servicio de acceso p�blico, sin
saber como funcionan las redes ip.

Para todo lo dem�s, google :)


> On 28 mayo, 23:50, Doug Carrillo <doug.carril...@gmail.com> wrote:
>> Hola amigos.
>> Me han robado como $800 en llamadas, alguien de la ip 200.118.159.83 ingreso
>> a mi servidor y no se como logro encontrar una extension y averiguo la clave
>> y se registro!!
>>
>> [May 26 14:13:52] VERBOSE[3409] logger.c: -- Registered SIP '1098' at
>> 200.118.159.83 port 5060
>> [May 26 14:13:58] VERBOSE[16136] logger.c: -- Executing
>> [9005372047097@from-internal:1] Macro("SIP/1098-b00efe60",
>> "user-callerid|SKIPTTL|") in new stack
>> Como restringir que asterisk permita a la extension ejemplo 1098 se pueda
>> registrar de una ip unicamente?
>>
>
>> Como alguien pudo investigar la extension y la clave, me refiero, hay atakes
>> de fuerza bruta? se puede cerrar el asterisk para que si fallan dos veces la
>> clave se cierre por un tiempo? como se hace en el ssh?
>>
>> Gracias
>>

>> Ahh el destino fue solamente Cuba... Que extra�o
>

--

-
-------------------------------------
Germ�n Aracil Boned

Alg�n d�a reconocer�n las masas,


que el software libre,
es un libro lleno de conocimientos,
escrito por el mundo, para el mundo.

Solo entonces desaparecer� la tiran�a privativa,

haci�ndonos tecnol�gicamente democr�ticos y libres.

Iñaki Baz Castillo

unread,
Jun 10, 2010, 8:12:50 AM6/10/10
to aster...@googlegroups.com
El día 10 de junio de 2010 04:23, Phylevn <filei...@gmail.com> escribió:
> Creo que hay que poner niveles de seguridad no solo en Asterisk si no
> dentro de nuestra red para evitar esto.
>
> La primera es no poner un * en una IP Pública o DMZ

¿Sugieres poner otra cosa SIP delante (concepto con el que estoy
deacuerdo)?, ¿o directamente hablas de limitar el acceso SIP a redes
privadas/conocidas? Anda, que como tengan que hacer lo mismo los
proveedores de aplicaciones web...


> la segunda en caso de que se quiera tener extensiones remotas, es usar
> una VPN ya sea como un cliente VPN o si es un teléfono IP alguno que
> soporte PPTP.

Sí, así definitivamente limitamos el número de usuarios que pueden
hacer uso de nuestros servicios.


> Tercera es pedir password en la marcación a números del extranjero

¿?


> La quinta usar iptables para restringir accesos de IP desconocidas a
> nuestro servidor.

Para mí casi todos son accesos desde IP's desconocidas.


> Séptima poner en cron una aplicación que mida el consumo de alguna
> extensión y lanzar mediante AMI una alerta a un teléfono.

¿Tiene que ser por AMI? ¿cómo se envía una alerta por AMI a un teléfono?


> Ocatava que debería ser la primera también nunca usar user 101
> password 101.

Y cortar las manos al que así lo haga.


> La octava no se me ocurren más ahorita, ¿ Más recomendaciones ?

Ya puestos (y tal y como figura en los boletines de seguridad del
Cisco Call Manager), si no vas a usar SIP desactívalo.

José Ferney Franco Baquero

unread,
Jun 13, 2010, 12:40:44 PM6/13/10
to aster...@googlegroups.com
de extraño nada... es bien caro ese destino. "Parece" que fue algún colmbiano:

IP      :       200.118.159.83       Neighborhood
Host    :       dynamic-ip-cr20011815983.cable.net.co
País    :       Colombia

 
Perdón. Pero yo diría algo como: el servidor esta en Colombia y nada más.
No flames. Es que soy colombiano.

Paco Gil

unread,
Jun 13, 2010, 12:46:04 PM6/13/10
to aster...@googlegroups.com


2010/6/13 José Ferney Franco Baquero <fer...@gmail.com>
Conoces el significado de las comillas???
Reply all
Reply to author
Forward
0 new messages