[OFF TOPIC] Denunciar una IP que intenta registrarse por fuerza bruta

[Damocles]

BUENAS TARDES...

Posiblemente se haya hablado indefinidamente de esto, pero lo estoy buscando y no encuentro una referencia que comento Iñaki en una respuesta a este mismo tema (O era algo que le habia pasado a el... No me acuerdo exactamente)...

El tema... Alguien podria decirme donde denunciar una IP que esta intentando registrarse por fuerza bruta a un Asterisk que tengo, de un cliente, en produccion...???

GRACIAS...

UN SALUDO...

Isaac

[Alberto Ribagorda]

A mi también me interesa, así que si alguien lo sabe ...

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
 
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com

[Angel Elena]

Si te vas a RIPE con la IP, verás que hay una dirección para "ABUSE"; normalmente los proveedores tienen una habilitada.... en el caso de telefónica/ vomistar está nemesys.

En alguna ocasión lo he usado y funciona........ suele ser ab...@proveedor.loquesea



-----Mensaje original-----
De: Alberto Ribagorda <ariba...@gmail.com>
Enviado: Lun 02-07-2012 12:35
Asunto: Re: [Asterisk-ES] [OFF TOPIC] Denunciar una IP que intenta registrarse por fuerza bruta
Para: aster...@googlegroups.com;

> A mi también me interesa, así que si alguien lo sabe ...
>
> El 2 de julio de 2012 11:59, Damocles <isaac...@gmail.com

> <mailto:isaac...@gmail.com> > escribió:

> BUENAS TARDES...
>
> Posiblemente se haya hablado indefinidamente de esto, pero lo estoy buscando y
> no encuentro una referencia que comento Iñaki en una respuesta a este mismo
> tema (O era algo que le habia pasado a el... No me acuerdo exactamente)...
>
> El tema... Alguien podria decirme donde denunciar una IP que esta intentando
> registrarse por fuerza bruta a un Asterisk que tengo, de un cliente, en
> produccion...???
>
> GRACIAS...
> UN SALUDO...
>
> Isaac
>
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org

> <http://www.asterisk-es.org> )

>  
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> <http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es>
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripción: asterisk-es...@googlegroups.com

> <mailto:asterisk-es...@googlegroups.com>

>
>
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org

> <http://www.asterisk-es.org> )

[Raúl Alexis Betancor Santana]

On Mon, Jul 02, 2012 at 02:59:45AM -0700, Damocles wrote:
> BUENAS TARDES...
>
> Posiblemente se haya hablado indefinidamente de esto, pero lo estoy

> buscando y no encuentro una referencia que comento I�aki en una respuesta a

> este mismo tema (O era algo que le habia pasado a el... No me acuerdo
> exactamente)...
>
> El tema... Alguien podria decirme donde denunciar una IP que esta
> intentando registrarse por fuerza bruta a un Asterisk que tengo, de un
> cliente, en produccion...???
>
> GRACIAS...
> UN SALUDO...

Hay unos pasos a seguir:

1- Bloquear la IP en el FW
2- Buscar al proveedor de la IP y contactar con su NOC a trav�s de la
direcci�n del abuse (whois sobre la ip y obtendr�s los datos
necesarios)

Si el paso 2 no te hacen caso, tienes 2 opciones:

1- Dejas la IP bloqueada en el FW y te olvidas, pierdes ancho de
banda, pero normalmente se cansan de intentarlo pasados unos d�as.

2- Te vas a la unidad de delitos inform�ticos de la guardia civil y
denuncias. Si no has subrido alg�n tipo de ataque que te haya generado
perdidas econ�micas o materiales, no vas a conseguir mucho ... pero
algo es algo.

Saludos

[Anibal Cañada]

En teoría,deberías enterarte quien es el proveedor/dueño de la ip, y enviar un correo a ab...@proveedor.xxx con un adjunto donde se aprecie el "ataque", también lo puedes enviar al proveedor de la conexión del cliente para que filtre el trafico.

Estos ataques suelen ser bots que van escaneando puertos y cuando encuentran un 5060 abierto, lo guardan En una base se datos para su posterior ataque de fuerza bruta. Yo tenía un script en perl que enviaba un 200 OK y en unos 5 o 10 segundos paraba el ataque porque el bot daba como "hackeado" el servidor. 

A ver si luego te lo puedo enviar desde casa.

Un saludo.

Anibal cañada

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)

 
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es

[Isaac Cueli Chavarría]

BUENAS TARDES...

Muchas gracias a todos...

En cuanto.detectamos el ataque configuramos el router para filtar esa IP. Es cierto eso de que consume ancho de banda, pero la verdad prefiero que lo consuma antes de tener problemas...

En cuanto a lo del correo ya les he enviado uno a nuestro proveedor (Cosa que es un poco inutil... Pero el cliente manda) y otro al proveedor de la IP desde donde nos abordan...

Si vemos que no trasciende pues iremos a la guardi civil... A ver que tal...

GRACIAS...
UN SALUDO...

Isaac

[Aníbal Cañada]

Buenas , te envio el script en perl:

require "socket"

s = UDPSocket.new

s.bind("IP_DE_SERVIDOR", PUERTO_DONDE_ESCUCHA)

while true

  packet = s.recvfrom(1024)

  via = packet[0].match(/Via: (.+);rport/)[1]

  from = packet[0].match(/From: (.+)/)[1]

  to = packet[0].match(/To: (.+)/)[1]

  call_id = packet[0].match(/Call-ID: (.+)/)[1]

  cseq = packet[0].match(/CSeq: (\d+) REGISTER/)[1]

  remote_ip = packet[1][3]

  remote_port = packet[1][1].to_i

  puts packet.inspect

  if packet[0].match(/^REGISTER /)

    ret = "SIP/2.0 200 OK\r\n" +

      "Via: #{via};received=#{remote_ip}\r\n" +

      "From: #{from}\r\n" +

      "To: #{to}\r\n" +

      "Call-ID: #{call_id}\r\n" +

      "CSeq: #{cseq.to_i + 1} REGISTER\r\n" +

      "\r\n"

    puts "sending to #{remote_ip}:#{remote_port}:\n#{ret}"

    s.send(ret, 0, remote_ip, remote_port)

  end

end

Este script no es mío , lo encontré en una web. :  https://jcs.org/notaweblog/2010/04/11/properly_stopping_a_sip_flood/

Ahí explica el procedimiento, en este caso , redirige el ataque al puerto 5061 , y desde ahí , ejecuta el script, enviando los "200 OK" , al atacante.

Otra opción , si es viable, es parar el asterisk  , correr el script (el ataque para en unos 5 - 10 seg.), y arrancar el asterisk.

Espero que te sea util.

Un saludo,

Anibal Cañada.

[Cristian Mitchell]

Lo que tenes que investigar es si es dinamica o estatica
dudo mucho que sea estatica, o sea que es, como tratar de cortar el viento.

solucion:

1.- poner una lista de ips aceptadas, el resto bloqueadas.
2.- fail2ban a 3 intentos
3.- poner un buen juego de restricciones (buenas claves no publicar
servicio inesesario, vpn, etc)




--
MrIX
Linux user number 412793.
http://counter.li.org/

las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,

[Sisco Ds]

Yo lo tengo con el fail2ban... al tercer intento lo banneo durante 1 hora y si veo que insiste envío el correo a abuse (en inglés).

Por la experiencia que tengo ,sólo lo he hecho un par de veces, pero hacen caso y me lo han parado aunque tardan bastante en bloquear. Así que no se si realmente ha sido por el correo o porque el origen del ataque ha desisitido, pero aún así lo envío.

Hay una cosa que comentaron en la lista pero que aún no he tenido tiempo de probar. Se trataría de intentar geolocalizar la IP de los registros y si esta se encuentra en una ubicación no esperada bloquearla directamente. Por ejemplo, si ofrezco un servicio en España y me están intentando entrar desde China o EEUU, directamente bloquear el acceso. Cuando lo comentaron me pareció muy interesante, pero aún no he tenido tiempo de probarlo.

Saludos.

> - Para anular la suscripción: asterisk-es-unsubscribe@googlegroups.com

>
>
> --
>
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org
>
> )
>
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
>
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
>

> - Para anular la suscripción: asterisk-es-unsubscribe@googlegroups.com

>
>
>
> --
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> - Para anular la suscripción: asterisk-es-unsubscribe@googlegroups.com

>
>
> --
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

> - Para anular la suscripción: asterisk-es-unsubscribe@googlegroups.com

[Vicente Jareño]

Hola Damocles, he seguido el hilo y entiendo tu frustración. Es algo que nos pasa a todos en mayor o menor medida en todo tipo de servidores. Acudir a las autoridades no suele servir de mucho porque las IP's, como ya han dejado caer, suelen ser dinámicas o incluso falsas para que no puedan ser localizados. Además, si no hay un daño real no harán nada porque la guardia civil o similares suelen ir bastante desbordados con estos temas.

Lo que yo personalmente recomiendo, puedo equivocarme como cualquier persona, es blindar todo lo que puedas o sepas el servidor, crear honeypots, utiliza el script que te han pasado en Perl para que te dejen tranquilos los que atacan con bots y sobretodo los cortafuegos como fail2ban que creo que ya tienes.

A todas las empresas grandes y pequeñas sean del sector que sean le ocurren cosas similares.