Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe bei Log-Analyse - Eventuell Hacker?

Frage Netzwerke Voice over IP

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

29.12.2013, aktualisiert 20:48 Uhr, 2779 Aufrufe, 9 Kommentare

Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.

Ich habe gerade in meinem Logfile komsche Einträge gefunden:

01.
[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c"
Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.

Vielen Dank und schöne Grüße
xoxys
Mitglied: certifiedit.net
29.12.2013 um 21:01 Uhr
Hallo xoxys,

1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 21:11 Uhr
Also vor dem kompletten Netz hängt eine IPFire. Sollte passen oder? Auf dem Asterisk-Server (ist ein Debian) habe ich mit fail2ban iptables eingerichtet. In der sip.conf habe ich mit deny und permit gearbeitet um den Zugriff auf die einzelnen Extensions zusätzlich zu sichern.

Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte

Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...

Grüße xoxyss
Bitte warten ..
Mitglied: Dobby
29.12.2013 um 23:24 Uhr
Hallo,

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina.
Unwarscheinlich dass der mal ne IP meines Providers hatte
- Die kann ja auch gespooft worden sein!
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?

Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 23:34 Uhr
Hey danke für deine Antwort.
Ja da hast du natürlich recht, sorry. Definiert sind:
01.
[general] 
02.
port=5060 
03.
bindaddr=0.0.0.0 
04.
alwaysauthreject=yes 
05.
allowguest=no 
06.
srvlookup=no 
07.
canreinvite=no 
08.
language=de 
09.
localnet=192.***.***.***/255.255.255.255 
10.
nat=no 
11.
qualify=yes 
12.
register => xx 
13.
 
14.
[vodafone] 
15.
type=friend 
16.
defaultuser=xxx 
17.
fromuser=xxx 
18.
authuser=xxx 
19.
host=***.sip.arcor.de 
20.
fromdomain=***.sip.arcor.de 
21.
secret=PASSWD 
22.
insecure=invite 
23.
context=xxx 
24.
qualify=yes 
25.
 
26.
[100] 
27.
deny=0.0.0.0/0.0.0.0 
28.
permit=192.***.***.***/255.255.255.255 
29.
defaultuser=100 
30.
type=friend 
31.
host=dynamic 
32.
secret=PASSWD 
33.
context=xxxt 
34.
qualify=yes 
35.
 
Bitte warten ..
Mitglied: Alchimedes
30.12.2013 um 18:43 Uhr
Hallo ,

fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.

Hier wuerde ich also mal die fail2ban logs anschauen.

tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.

Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.

Gruss
Bitte warten ..
Mitglied: Dobby
30.12.2013 um 19:09 Uhr
die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ist das nicht ein bisschen zu viel? Ich kenne mich damit nicht so aus
aber weniger ist mehr oder?

mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Dann hat es eben jemand versucht setze doch die ganze Region Palestina einfach mal auf
No setzen und dann einmal weiter sehen ob sich wieder jemand "meldet"!

Vorher aber bitte im Unternehmen nachfragen, nicht das dort ein potentieller Neukunde sitzt.

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 08:18 Uhr
Hallo,
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht

In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...

D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.

Danke für eure Antworten
Bitte warten ..
Mitglied: Dobby
31.12.2013 um 11:06 Uhr
Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern.
fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.
Es ist schon so dass es eigentlich für die Einwahlversuche via SSH gemacht worden ist, aber natürlich kann man so
ein Programm auch für andere Aufgaben hernehmen. Ist ja auch kein Beinbruch.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe.
Die Nummer 200 existiert ja nicht...
Eventuell ist das auch eine ganz banale Angelegenheit, hast Du mal einen Teil der Meldung gegooglet?

Den kompletten IP-Bereich blocken könnte man natürlich machen.
Ne schon klar nur irgend wie muss der ja nun von Eurem Netzwerk fern gehalten werden und wenn vorne an
der Firewall (Hardware) die Ports offen sind und an der Asterisk Appliance viele Ports offen sind kann es auch vorkommen
dass man dann eben öfters einmal so etwas zu sehen bekommt denn Angriffe laufen heute vollautomatisch durch das scannen
von IP Adressen und der dazugehörigen Ports.

Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden...
Eventuell hat derjenige ja auch "Erfolg" gehabt und hat die Logfiles einfach gekürzt und die eine Zeile hat er übersehen!
Man wischt ja auch die Fingerabdrücke am Tatort ab, so in der Richtung ist das zu verstehen.

Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren...
Nein das nicht nur wie sieht denn auf die schnelle Deine Strategie aus?
Du hast einen Logfile ohne Einträge, bzw. nur den einen den der böse Bube eventuell auch nur vergessen hat!
Was ist Dein nächster Schritt?

Das will ich eigentlich nicht.
Klar nur dann hilft auch alles weinen nicht! Denn der anderen Seite wird das herzlich egal sein wenn
sie einmal "Blut" geleckt haben machen die auch gerne weiter und wer will schon Fotos von nackigen Kindern,
gestohlene Software und eine Spam, Malware oder Virenschleuder im Unternehmen haben oder das halb Ramalla
auf eure Kosten nach Russland telefoniert und die Hamas ordert dort dann Giftgas und/oder Atombomben???

Also ich würde dafür meine VOIP PBX nicht hergeben wollen und die Fragen beantworten wenn einer der Dienste
dann noch den Verdacht äußert dass Ihr Terroristen unterstützt bleibt nur zu hoffen dass Ihr keine Spedition seit
die international Waren und Güter transportiert denn das dürfte sich danach schnell erledigt haben wenn man
auf eine der schwarzen Listen landet!

Gruß und guten Rutsch ins neue Jahr 2014
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 11:27 Uhr
Du hast natürlich recht. Ich wollte auch nicht weinen und dann keine Ratschläge von euch annehmen. Ich habe das IP-range erstmal blockiert und im Dialplan externe telefonate auch die benötigten Länder beschränkt. Ich werde den Fall weiter beobachten und eventuell mal die Ports etwas eingrenzen.

Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.

Dir auch einen guten Rutsch.
xoxyss
Bitte warten ..
Ähnliche Inhalte
Monitoring
Log-file analyse
gelöst Frage von CT-LegendMonitoring5 Kommentare

Hallo liebe Administratoren, Folgendes Szenario. Ein Programm auf meinem Server hat ab und zu Fehlfunktionen. Die Fehler werden in ...

Exchange Server
Analyse der SMTP Traffic Log Dateien per Powershell
Tipp von KnorkatorExchange Server3 Kommentare

Hallo, habe mir eine kleine Powershell Funktion geschrieben mit der ich die Exchange SMTP Logdateien Filtern kann. Ist nichts ...

Netzwerkprotokolle
Hilfe bei der Analyse von Netzwerktraces via Wireshark (Ethereal)
gelöst Frage von kevischeNetzwerkprotokolle8 Kommentare

Liebe Netzwerker, im Zuge meines Fernstudiums habe ich erneut Hilfebedarf. Ich tue mir teilweise wirklich schwer, einen Netzwerktrace so ...

Vmware
ESXi6 stürzt ab, brauche Hilfe bei den Logs
gelöst Frage von Freak-On-SiliconVmware14 Kommentare

Servus; Ich bräuchte eure Hilfe beim Auslesen der Logs. Erstmal zur Umgebung: ESXi1 & ESXi2: IBM 3650 M4 (sind ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 2 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 2 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 10 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server12 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...