9
Hilfe bei Log-Analyse - Eventuell Hacker?
Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.
Ich habe gerade in meinem Logfile komsche Einträge gefunden:
Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.
Vielen Dank und schöne Grüße
xoxys
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.
Ich habe gerade in meinem Logfile komsche Einträge gefunden:
[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c" Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.
Vielen Dank und schöne Grüße
xoxys
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 225533
Url: https://administrator.de/contentid/225533
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo xoxys,
1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.
1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.
Also vor dem kompletten Netz hängt eine IPFire. Sollte passen oder? Auf dem Asterisk-Server (ist ein Debian) habe ich mit fail2ban iptables eingerichtet. In der sip.conf habe ich mit deny und permit gearbeitet um den Zugriff auf die einzelnen Extensions zusätzlich zu sichern.
Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?
Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte
Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...
Grüße xoxyss
Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?
Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte
Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...
Grüße xoxyss
Hallo,
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?
Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?
Gruß
Dobby
Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina.
Unwarscheinlich dass der mal ne IP meines Providers hatte
- Die kann ja auch gespooft worden sein!Unwarscheinlich dass der mal ne IP meines Providers hatte
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?
Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?
Gruß
Dobby
Hey danke für deine Antwort.
Ja da hast du natürlich recht, sorry. Definiert sind:
Ja da hast du natürlich recht, sorry. Definiert sind:
[general]
port=5060
bindaddr=0.0.0.0
alwaysauthreject=yes
allowguest=no
srvlookup=no
canreinvite=no
language=de
localnet=192.***.***.***/255.255.255.255
nat=no
qualify=yes
register => xx
[vodafone]
type=friend
defaultuser=xxx
fromuser=xxx
authuser=xxx
host=***.sip.arcor.de
fromdomain=***.sip.arcor.de
secret=PASSWD
insecure=invite
context=xxx
qualify=yes
[100]
deny=0.0.0.0/0.0.0.0
permit=192.***.***.***/255.255.255.255
defaultuser=100
type=friend
host=dynamic
secret=PASSWD
context=xxxt
qualify=yes
Hallo ,
fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.
Hier wuerde ich also mal die fail2ban logs anschauen.
tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.
Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.
Gruss
fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.
Hier wuerde ich also mal die fail2ban logs anschauen.
tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.
Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.
Gruss
die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ist das nicht ein bisschen zu viel? Ich kenne mich damit nicht so ausaber weniger ist mehr oder?
mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Dann hat es eben jemand versucht setze doch die ganze Region Palestina einfach mal aufNo setzen und dann einmal weiter sehen ob sich wieder jemand "meldet"!
Vorher aber bitte im Unternehmen nachfragen, nicht das dort ein potentieller Neukunde sitzt.
Gruß
Dobby
Hallo,
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht
In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.
Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...
D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.
Danke für eure Antworten
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht
In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.
Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...
D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.
Danke für eure Antworten
Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern.
fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.
Es ist schon so dass es eigentlich für die Einwahlversuche via SSH gemacht worden ist, aber natürlich kann man sofail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.
ein Programm auch für andere Aufgaben hernehmen. Ist ja auch kein Beinbruch.
Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe.
Die Nummer 200 existiert ja nicht...
Eventuell ist das auch eine ganz banale Angelegenheit, hast Du mal einen Teil der Meldung gegooglet?Die Nummer 200 existiert ja nicht...
Den kompletten IP-Bereich blocken könnte man natürlich machen.
Ne schon klar nur irgend wie muss der ja nun von Eurem Netzwerk fern gehalten werden und wenn vorne ander Firewall (Hardware) die Ports offen sind und an der Asterisk Appliance viele Ports offen sind kann es auch vorkommen
dass man dann eben öfters einmal so etwas zu sehen bekommt denn Angriffe laufen heute vollautomatisch durch das scannen
von IP Adressen und der dazugehörigen Ports.
Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden...
Eventuell hat derjenige ja auch "Erfolg" gehabt und hat die Logfiles einfach gekürzt und die eine Zeile hat er übersehen!Man wischt ja auch die Fingerabdrücke am Tatort ab, so in der Richtung ist das zu verstehen.
Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren...
Nein das nicht nur wie sieht denn auf die schnelle Deine Strategie aus?Du hast einen Logfile ohne Einträge, bzw. nur den einen den der böse Bube eventuell auch nur vergessen hat!
Was ist Dein nächster Schritt?
Das will ich eigentlich nicht.
Klar nur dann hilft auch alles weinen nicht! Denn der anderen Seite wird das herzlich egal sein wennsie einmal "Blut" geleckt haben machen die auch gerne weiter und wer will schon Fotos von nackigen Kindern,
gestohlene Software und eine Spam, Malware oder Virenschleuder im Unternehmen haben oder das halb Ramalla
auf eure Kosten nach Russland telefoniert und die Hamas ordert dort dann Giftgas und/oder Atombomben???
Also ich würde dafür meine VOIP PBX nicht hergeben wollen und die Fragen beantworten wenn einer der Dienste
dann noch den Verdacht äußert dass Ihr Terroristen unterstützt bleibt nur zu hoffen dass Ihr keine Spedition seit
die international Waren und Güter transportiert denn das dürfte sich danach schnell erledigt haben wenn man
auf eine der schwarzen Listen landet!
Gruß und guten Rutsch ins neue Jahr 2014
Dobby
Du hast natürlich recht. Ich wollte auch nicht weinen und dann keine Ratschläge von euch annehmen. Ich habe das IP-range erstmal blockiert und im Dialplan externe telefonate auch die benötigten Länder beschränkt. Ich werde den Fall weiter beobachten und eventuell mal die Ports etwas eingrenzen.
Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.
Dir auch einen guten Rutsch.
xoxyss
Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.
Dir auch einen guten Rutsch.
xoxyss
