Venho sofrendo tentativas de invasão que fazem meus ramais ficarem trocando.
1. Já mudei o ssh para não usar a porta padrão (22).
2. Instalei o Fail2ban, identificou alguns IPs (China), então coloquei o script abaixo do RC.LOCAL:
#!/bin/bash
cd /root/
BLOCKDB=/root/chinese-iptables-blocklist.txt
if [ -f $BLOCKDB ]
then
while read IPS
do
iptables -A INPUT -s $IPS -j DROP
iptables -A OUTPUT -d $IPS -j DROP
echo "IP: $IPS Bloqueado"
done < $BLOCKDB
else
echo "Arquivo $BLOCKDB não existe"
exit 1
fi
Diminuiu mas não resolveu....
3. então troquei esse script por esse:
#!/bin/bash
iptables -P INPUT DROP
cd /
DB=/brazil-iptables-list.txt
if [ -f $DB ]
then
while read IPS
do
iptables -A INPUT -s $IPS -j ACCEPT
done < $DB
else
echo "Arquivo $DB não existe"
exit 1
fi
Com esse minha central parou de funcionar, acho que bloqueou o IP do VOIP VONO
Eu sou novo em Linux, estou a meses pesquisando, mais estou com muita dificuldade para resolver isso sozinho.
Como você sabe que foram invasões?
Como você sabe que é o ssh?
Se for o ssh, um firewall tem pouca utilidade se você permite login do usuário root de usuários com "sudo powers".
Se foram feitos testes sucessivos no iptables (sem reboot), provavelmente, algumas regras de testes anteriores ainda estão ativas. Verifique as regras ativas no seu firewall com o comando:
iptables -L
Nos dois exemplos, você bloqueou inclusive as respostas dos hosts destino e as aplicações que iniciaram as conexões firam sem resposta. Quando se usa políticas de drop, precisa-se liberar ao menos o básico:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Mas depende muito das particularidades do servidor.
É recomendável que você estude os fundamentos do funcionamento de firewalls e a sintaxe do iptables.
4. Re: Invasão Asterisk [RESOLVIDO]
proctiusa CentOS
Post recolhido
Enviado em 22/02/2015 - 18:57h
buckminster escreveu:
Teste esse último script acrescentando essa regra:
Mesmo com esse linha ai ficou sem conexão com o VOIP VONO... Acho que vou ter que tirar esse script...
dei uma linda no link, estou começando a entender e fazer esses ajustes...
5. Re: Invasão Asterisk [RESOLVIDO]
proctiusa CentOS
Post recolhido
Enviado em 22/02/2015 - 19:29h
textmode escreveu:
Como você sabe que foram invasões?
Como você sabe que é o ssh?
Se for o ssh, um firewall tem pouca utilidade se você permite login do usuário root de usuários com "sudo powers".
Se foram feitos testes sucessivos no iptables (sem reboot), provavelmente, algumas regras de testes anteriores ainda estão ativas. Verifique as regras ativas no seu firewall com o comando:
iptables -L
Nos dois exemplos, você bloqueou inclusive as respostas dos hosts destino e as aplicações que iniciaram as conexões firam sem resposta. Quando se usa políticas de drop, precisa-se liberar ao menos o básico:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Mas depende muito das particularidades do servidor.
É recomendável que você estude os fundamentos do funcionamento de firewalls e a sintaxe do iptables.
Imagino que sejam invasões porque o FAIL2BAN, mostra IP estrangeiros, quando dou um IPTABLES - L
o software do elastix tem um relatório também, nele aparece que as chamadas vem do meu IP de internet para os ramais que recebem as chamadas mudas (fantasma como dizem)
Não sei se foi via SSH, só vi na internet que era uma segurança a mais mudar a porta do ssh... e fiz...
adicionei sua sugestão, mais a sugestão do nosso outro colega, no script que libera só o Brasil e agora conectou o VOIP VONO, estou recebendo ligações :)
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Agora vou monitorar para ver se resolveu o problema do ataques (chamadas fantasmas)
Ficou assim:
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
# cd /root/
# BLOCKDB=/root/chinese-iptables-blocklist.txt
# if [ -f $BLOCKDB ]
# then
# while read IPS
# do
# iptables -A INPUT -s $IPS -j DROP
# iptables -A OUTPUT -d $IPS -j DROP
# echo "IP: $IPS Bloqueado"
# done < $BLOCKDB
# else
# echo "Arquivo $BLOCKDB não existe"
# exit 1
#fi
#!/bin/bash
iptables -P INPUT DROP
cd /
DB=/brazil-iptables-list.txt
if [ -f $DB ]
then
while read IPS
do
iptables -A INPUT -s $IPS -j ACCEPT
iptables -A OUTPUT -d $IPS -j ACCEPT
done < $DB
else
echo "Arquivo $DB não existe"
exit 1
fi
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
Estou seguindo seu conselho de estudar os fundamentos, etc... mas, infelizmente esse aprendizado demora um pouco e esse ataques continuam evoluindo, com uma senha mais fraca que eu utilizava antes fui invadido e consumiram meus créditos do VONO
Além da lista sugerida pelo nosso amigo vocês tem alguma outra sugestão?
Desde já agradeço, atenção e o tempo de vocês, parece que evoluímos vou continuar monitorando para ver...
6. Resolvido
proctiusa CentOS
Post recolhido
Enviado em 04/03/2015 - 18:32h
Pessoal,
Acompanhei durante mais de uma semana e as chamadas fantasmas acabaram com esse script.
Muito obrigado, a todos os que me ajudaram e ao VivaoLinux.
Como eu fecho esse tópico? rs
Abs.
7. Re: Invasão Asterisk [RESOLVIDO]
buckminsterusa Void Linux
Post recolhido
Enviado em 06/03/2015 - 16:47h
procti escreveu:
Pessoal,
Acompanhei durante mais de uma semana e as chamadas fantasmas acabaram com esse script.
Muito obrigado, a todos os que me ajudaram e ao VivaoLinux.
Como eu fecho esse tópico? rs
Abs.
De nada.
Clique em 'Marcar como resolvido'.
8. Re: Invasão Asterisk [RESOLVIDO]
r1ck2usa CentOS
Post recolhido
Enviado em 19/08/2015 - 11:48h
Desculpa tá abrindo o Tópico. Mas preciso de um HELP
Estou com o mesmo problema já coloquei o fail2ban mas não resolveu o problema.
Pode me auxiliar como resolveu o problema?
Coloquei um telefone com bina sempre toca o 1001, 101, 4001... 5001... sempre os ramais que não existe peers.
Usamos cookies essenciais para manter o site funcionando e Google Analytics para métricas de audiência. Cookies de anúncios só serão carregados se você permitir.
