Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe bei Log-Analyse - Eventuell Hacker?

Frage Netzwerke Voice over IP

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

29.12.2013, aktualisiert 20:48 Uhr, 2606 Aufrufe, 9 Kommentare

Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.

Ich habe gerade in meinem Logfile komsche Einträge gefunden:

01.
[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c"
Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.

Vielen Dank und schöne Grüße
xoxys
Mitglied: certifiedit.net
29.12.2013 um 21:01 Uhr
Hallo xoxys,

1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 21:11 Uhr
Also vor dem kompletten Netz hängt eine IPFire. Sollte passen oder? Auf dem Asterisk-Server (ist ein Debian) habe ich mit fail2ban iptables eingerichtet. In der sip.conf habe ich mit deny und permit gearbeitet um den Zugriff auf die einzelnen Extensions zusätzlich zu sichern.

Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte

Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...

Grüße xoxyss
Bitte warten ..
Mitglied: Dobby
29.12.2013 um 23:24 Uhr
Hallo,

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina.
Unwarscheinlich dass der mal ne IP meines Providers hatte
- Die kann ja auch gespooft worden sein!
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?

Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
29.12.2013 um 23:34 Uhr
Hey danke für deine Antwort.
Ja da hast du natürlich recht, sorry. Definiert sind:
01.
[general] 
02.
port=5060 
03.
bindaddr=0.0.0.0 
04.
alwaysauthreject=yes 
05.
allowguest=no 
06.
srvlookup=no 
07.
canreinvite=no 
08.
language=de 
09.
localnet=192.***.***.***/255.255.255.255 
10.
nat=no 
11.
qualify=yes 
12.
register => xx 
13.
 
14.
[vodafone] 
15.
type=friend 
16.
defaultuser=xxx 
17.
fromuser=xxx 
18.
authuser=xxx 
19.
host=***.sip.arcor.de 
20.
fromdomain=***.sip.arcor.de 
21.
secret=PASSWD 
22.
insecure=invite 
23.
context=xxx 
24.
qualify=yes 
25.
 
26.
[100] 
27.
deny=0.0.0.0/0.0.0.0 
28.
permit=192.***.***.***/255.255.255.255 
29.
defaultuser=100 
30.
type=friend 
31.
host=dynamic 
32.
secret=PASSWD 
33.
context=xxxt 
34.
qualify=yes 
35.
 
Bitte warten ..
Mitglied: Alchimedes
30.12.2013 um 18:43 Uhr
Hallo ,

fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.

Hier wuerde ich also mal die fail2ban logs anschauen.

tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.

Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.

Gruss
Bitte warten ..
Mitglied: Dobby
30.12.2013 um 19:09 Uhr
die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.
Ist das nicht ein bisschen zu viel? Ich kenne mich damit nicht so aus
aber weniger ist mehr oder?

mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.
Dann hat es eben jemand versucht setze doch die ganze Region Palestina einfach mal auf
No setzen und dann einmal weiter sehen ob sich wieder jemand "meldet"!

Vorher aber bitte im Unternehmen nachfragen, nicht das dort ein potentieller Neukunde sitzt.

Gruß
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 08:18 Uhr
Hallo,
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht

In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...

D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.

Danke für eure Antworten
Bitte warten ..
Mitglied: Dobby
31.12.2013 um 11:06 Uhr
Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern.
fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.
Es ist schon so dass es eigentlich für die Einwahlversuche via SSH gemacht worden ist, aber natürlich kann man so
ein Programm auch für andere Aufgaben hernehmen. Ist ja auch kein Beinbruch.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe.
Die Nummer 200 existiert ja nicht...
Eventuell ist das auch eine ganz banale Angelegenheit, hast Du mal einen Teil der Meldung gegooglet?

Den kompletten IP-Bereich blocken könnte man natürlich machen.
Ne schon klar nur irgend wie muss der ja nun von Eurem Netzwerk fern gehalten werden und wenn vorne an
der Firewall (Hardware) die Ports offen sind und an der Asterisk Appliance viele Ports offen sind kann es auch vorkommen
dass man dann eben öfters einmal so etwas zu sehen bekommt denn Angriffe laufen heute vollautomatisch durch das scannen
von IP Adressen und der dazugehörigen Ports.

Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden...
Eventuell hat derjenige ja auch "Erfolg" gehabt und hat die Logfiles einfach gekürzt und die eine Zeile hat er übersehen!
Man wischt ja auch die Fingerabdrücke am Tatort ab, so in der Richtung ist das zu verstehen.

Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren...
Nein das nicht nur wie sieht denn auf die schnelle Deine Strategie aus?
Du hast einen Logfile ohne Einträge, bzw. nur den einen den der böse Bube eventuell auch nur vergessen hat!
Was ist Dein nächster Schritt?

Das will ich eigentlich nicht.
Klar nur dann hilft auch alles weinen nicht! Denn der anderen Seite wird das herzlich egal sein wenn
sie einmal "Blut" geleckt haben machen die auch gerne weiter und wer will schon Fotos von nackigen Kindern,
gestohlene Software und eine Spam, Malware oder Virenschleuder im Unternehmen haben oder das halb Ramalla
auf eure Kosten nach Russland telefoniert und die Hamas ordert dort dann Giftgas und/oder Atombomben???

Also ich würde dafür meine VOIP PBX nicht hergeben wollen und die Fragen beantworten wenn einer der Dienste
dann noch den Verdacht äußert dass Ihr Terroristen unterstützt bleibt nur zu hoffen dass Ihr keine Spedition seit
die international Waren und Güter transportiert denn das dürfte sich danach schnell erledigt haben wenn man
auf eine der schwarzen Listen landet!

Gruß und guten Rutsch ins neue Jahr 2014
Dobby
Bitte warten ..
Mitglied: xoxyss
31.12.2013 um 11:27 Uhr
Du hast natürlich recht. Ich wollte auch nicht weinen und dann keine Ratschläge von euch annehmen. Ich habe das IP-range erstmal blockiert und im Dialplan externe telefonate auch die benötigten Länder beschränkt. Ich werde den Fall weiter beobachten und eventuell mal die Ports etwas eingrenzen.

Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.

Dir auch einen guten Rutsch.
xoxyss
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Microsoft Office
Fahrer Analyse Tabelle (Palletenzeit pro, min.) in EXCEL13 (3)

Frage von kluthi69 zum Thema Microsoft Office ...

Erkennung und -Abwehr
Rekordhack bei Yahoo: Hacker könnte Zugriff auf Konten gehabt haben (1)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Windows Server
gelöst Event logs on system - In 24 hours more than 200,000 log events are generated (7)

Frage von Daywalker75 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (17)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...