Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hilfe bei Log-Analyse - Eventuell Hacker?

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

29.12.2013, aktualisiert 20:48 Uhr, 3058 Aufrufe, 9 Kommentare

Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.

Ich habe gerade in meinem Logfile komsche Einträge gefunden:

01.
[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c"
Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.

Vielen Dank und schöne Grüße
xoxys
Mitglied: certifiedit.net
29.12.2013 um 21:01 Uhr
Hallo xoxys,

1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 21:11 Uhr
Also vor dem kompletten Netz hängt eine IPFire. Sollte passen oder? Auf dem Asterisk-Server (ist ein Debian) habe ich mit fail2ban iptables eingerichtet. In der sip.conf habe ich mit deny und permit gearbeitet um den Zugriff auf die einzelnen Extensions zusätzlich zu sichern.

Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte

Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...

Grüße xoxyss
Bitte warten ..
Mitglied: 108012
29.12.2013 um 23:24 Uhr
Hallo,

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina.
Unwarscheinlich dass der mal ne IP meines Providers hatte
- Die kann ja auch gespooft worden sein!
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?

Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 23:34 Uhr
Hey danke für deine Antwort.
Ja da hast du natürlich recht, sorry. Definiert sind:
01.
[general]
02.
port=5060
03.
bindaddr=0.0.0.0
04.
alwaysauthreject=yes
05.
allowguest=no
06.
srvlookup=no
07.
canreinvite=no
08.
language=de
09.
localnet=192.***.***.***/255.255.255.255
10.
nat=no
11.
qualify=yes
12.
register => xx
13.

14.
[vodafone]
15.
type=friend
16.
defaultuser=xxx
17.
fromuser=xxx
18.
authuser=xxx
19.
host=***.sip.arcor.de
20.
fromdomain=***.sip.arcor.de
21.
secret=PASSWD
22.
insecure=invite
23.
context=xxx
24.
qualify=yes
25.

26.
[100]
27.
deny=0.0.0.0/0.0.0.0
28.
permit=192.***.***.***/255.255.255.255
29.
defaultuser=100
30.
type=friend
31.
host=dynamic
32.
secret=PASSWD
33.
context=xxxt
34.
qualify=yes
35.
Bitte warten ..
Mitglied: Alchimedes
30.12.2013 um 18:43 Uhr
Hallo ,

fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.

Hier wuerde ich also mal die fail2ban logs anschauen.

tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.

Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.

Gruss
Bitte warten ..
Mitglied: 108012
30.12.2013 um 19:09 Uhr
die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ist das nicht ein bisschen zu viel? Ich kenne mich damit nicht so aus
aber weniger ist mehr oder?

mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Dann hat es eben jemand versucht setze doch die ganze Region Palestina einfach mal auf
No setzen und dann einmal weiter sehen ob sich wieder jemand "meldet"!

Vorher aber bitte im Unternehmen nachfragen, nicht das dort ein potentieller Neukunde sitzt.

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 08:18 Uhr
Hallo,
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht

In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...

D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.

Danke für eure Antworten
Bitte warten ..
Mitglied: 108012
31.12.2013 um 11:06 Uhr
Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern.
fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.
Es ist schon so dass es eigentlich für die Einwahlversuche via SSH gemacht worden ist, aber natürlich kann man so
ein Programm auch für andere Aufgaben hernehmen. Ist ja auch kein Beinbruch.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe.
Die Nummer 200 existiert ja nicht...
Eventuell ist das auch eine ganz banale Angelegenheit, hast Du mal einen Teil der Meldung gegooglet?

Den kompletten IP-Bereich blocken könnte man natürlich machen.
Ne schon klar nur irgend wie muss der ja nun von Eurem Netzwerk fern gehalten werden und wenn vorne an
der Firewall (Hardware) die Ports offen sind und an der Asterisk Appliance viele Ports offen sind kann es auch vorkommen
dass man dann eben öfters einmal so etwas zu sehen bekommt denn Angriffe laufen heute vollautomatisch durch das scannen
von IP Adressen und der dazugehörigen Ports.

Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden...
Eventuell hat derjenige ja auch "Erfolg" gehabt und hat die Logfiles einfach gekürzt und die eine Zeile hat er übersehen!
Man wischt ja auch die Fingerabdrücke am Tatort ab, so in der Richtung ist das zu verstehen.

Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren...
Nein das nicht nur wie sieht denn auf die schnelle Deine Strategie aus?
Du hast einen Logfile ohne Einträge, bzw. nur den einen den der böse Bube eventuell auch nur vergessen hat!
Was ist Dein nächster Schritt?

Das will ich eigentlich nicht.
Klar nur dann hilft auch alles weinen nicht! Denn der anderen Seite wird das herzlich egal sein wenn
sie einmal "Blut" geleckt haben machen die auch gerne weiter und wer will schon Fotos von nackigen Kindern,
gestohlene Software und eine Spam, Malware oder Virenschleuder im Unternehmen haben oder das halb Ramalla
auf eure Kosten nach Russland telefoniert und die Hamas ordert dort dann Giftgas und/oder Atombomben???

Also ich würde dafür meine VOIP PBX nicht hergeben wollen und die Fragen beantworten wenn einer der Dienste
dann noch den Verdacht äußert dass Ihr Terroristen unterstützt bleibt nur zu hoffen dass Ihr keine Spedition seit
die international Waren und Güter transportiert denn das dürfte sich danach schnell erledigt haben wenn man
auf eine der schwarzen Listen landet!

Gruß und guten Rutsch ins neue Jahr 2014
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 11:27 Uhr
Du hast natürlich recht. Ich wollte auch nicht weinen und dann keine Ratschläge von euch annehmen. Ich habe das IP-range erstmal blockiert und im Dialplan externe telefonate auch die benötigten Länder beschränkt. Ich werde den Fall weiter beobachten und eventuell mal die Ports etwas eingrenzen.

Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.

Dir auch einen guten Rutsch.
xoxyss
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Brauche hilf bei einer batch Datei
gelöst Frage von PilllllleBatch & Shell7 Kommentare

hallo, ich versuche mit Hilfe von einer batch- Datei eine bestimmt Zeile aus einer txt- Datei in eine neue ...

Windows Server

Log On Log Off-Verhalten per PowerShell aus dem Event Log

Frage von Leo-leWindows Server7 Kommentare

Hallo Forum, wie gehe ich am besten vor, wenn ich aus dem DC Event Log von mehreren Nutzern das ...

Datenschutz

The Great Hack bei Netflix: NZZ Review

Tipp von PeterGygerDatenschutz2 Kommentare

Hallo Netflix hat eine Doku zu "Cambrige Analytica" herausgebracht. Ein wirklich spannender Thriller, der weit über die US Wahlen ...

Apache Server

Apache modProxy debug-log schreibt in error-log

Frage von mic.weApache Server6 Kommentare

Hallo @ all, Ich habe in meinem Apache einen VHost, wo ich das Module ProxyPass verwende. Ich wollte von ...

Neue Wissensbeiträge
Windows 10

"Windows 10 Pro V1903: Gruppenrichtlinie "Telemetrie zulassen" aktivierbar?"

Tipp von Snowbird vor 3 StundenWindows 101 Kommentar

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V7 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 3 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Heiß diskutierte Inhalte
Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer13 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows Server
Ist es möglich, eine deutsche W2016 Installation mit einer UK-Lizenz zu aktivieren?
gelöst Frage von keine-ahnungWindows Server10 Kommentare

Moin at all, ist ja noch Freitag. Ich habe hier noch zwei UK OEM W2016 Standard Pakete rumfliegen Muss ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...

LAN, WAN, Wireless
Mikrotik Gast-Wlan keine Verbindung zum Internet?
Frage von dirkschwarzLAN, WAN, Wireless8 Kommentare

Guten Morgen, habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme Ich möchte ein Gast-Wlan ...