Script php pour les sipvicious

[ds3]

J'ai eu a faire à eux avec le fichier log a l'appui, heure serveur, etc..
et contrairement a toi ceci a été pris très au sérieux et le serveur à été coupé
assez vite, juste quand j'ai demandé à juste titre l'identité du hacker que ça a coincé, je peux comprendre l'éthique informatique etc.. mais la quand même
trop c'est trop, les hackers sont la pollution du net.

Et comme toujours les bons paient pour les mauvais, la dure loi de la vie.

[ds3]

Admin en façe a du couper la machine.
AWS = Rien
1&1 = Rien
Transit = Rien
Boite privées = une bonne réaction.
Les pires c'est transit, ils ont rien a foutre franchement, c'est du traffic.

Pour préciser les contacts tech et admin qui doivent gérer abuse@, il existe la base des RIR Ripe, afnic etc ...
C'est une info, nous n'avons jamais effectué cette démarche. Enfin pas pour ce type de problèmes.

Example pour 1&1

https://apps.db.ripe.net/whois/looku...AFI5-RIPE.html

Code:

person:         Axel Fischer
address:        1&1 Internet AG
address:        Brauerstr. 48
address:        D-76135 Karlsruhe
phone:          +49 721 91374 0
e-mail:         axel.fischer@oneandone.net
nic-hdl:        AFI5-RIPE
notify:         ripe-role at oneandone.net
abuse-mailbox:  abuse at oneandone.net
mnt-by:         AS8560-MNT
changed:        axel.fischer at oneandone.net 20070813
changed:        ripe-role at oneandone.net 20090514 <#### A éviter, très mal perçu. Cet email est pour les échanges RIPE vs adhérant
source:         RIPE

[Reaper]

J'utilise toujours abuse trouvé par "whois" généralement il me renvoi la confirmation de réception et c'est tout.

[jean]

alors que mes iptables choppent 3-4 scanners / jour

Salut à tous

Je reviens sur le sujet des scanners... ce thread a 15 mois si je ne trompe, et j'étais à 3-4 scans par jour... je suis maintenant à 10-15 robots par jour qui essaient de scanner mes ips... (par ip)

Est ce que vous aussi, vous avez constaté une augmentation du nombre de scans ?

J.

[fastm3]

Je regarde meme plus les logs de scans 5060 vu qu'il n'y aucune chance que le hack puisse avoir lieu par la sur mes installs.
Pour les extensions locales , l'authentification n'est de plus autorisée que depuis le subnet local juste au cas ou...Les extensions remotes , seulement de l'ip prevue.

Pour debuter ( on voit souvent le contexte defaut utilisé pour tout...), il est vraiment conseiller de ne pas laisser le port sip ouvert à tous avec un systeme de liste blanche ou meme tout fermer en s'amusant en local.

Mais oui, les logs montre que le port 5060 est de plus en plus scanné. Le changer n'est pas vraiment plus safe, mais au moins limite les probabilités de scans.
Fastm3.

[Comdif]

Perso pas le choix puisque j'exploite et entretient des switch online
ce que je fais en général c'est évaluer les clients susceptibles de s'y connecter
fai, pays ou mieux ip fixe et je bloque tout le reste sur Iptables.
Refus des forward anonymes et quand j'en ai besoin je crée un pseudo trunk.
Avec ces quelques règles les scan SIP et tentatives sont devenus assez rares.

[celya]

Nous aussi nous avons des machines ouvertent sur des IP Public.
Outre les protections par des mots de passe de type PWGEN, on utilise fail2ban+une ouverture des IP sur le FIREWALL+SNORT.