Script php pour les sipvicious

[jean]

:-) :-) :-) :-) :-) j'aime bien ta réponse...

+ sérieusement, j'ai tous les noms des scanners rentrés dans mes iptables, et j'ai jeté fail2ban à la poubelle.... enfin, qd meme pas, mais il n'intercepte jamais rien... alors que mes iptables choppent 3-4 scanners / jour

la "beauté" de ces filtres iptables, c'est que le scanner ne voit meme pas le serveur voip... alors que f2b lui révèle (avec ton script, seulement sur le premier serveur attaqué).

je peux faire parvenir l'ensemble des signatures que j'ai en PM, j'ai pas trop envie de trop distribuer, sinon elles vont évoluer !

[ds3]

la "beauté" de ces filtres iptables, c'est que le scanner ne voit meme pas le serveur voip... alors que f2b lui révèle (avec ton script, seulement sur le premier serveur attaqué).

C'est vrai, mais ou est le plaisir

je peux faire parvenir l'ensemble des signatures que j'ai en PM, j'ai pas trop envie de trop distribuer, sinon elles vont évoluer !

Avec plaisir. je t'enverrai en échange la collecte faite depuis 4 ans un peu lourd le fichier.

[Comdif]

Tout ça est très bien mais suite à pas mal d'audits sur des serveurs ayant eu des
cracks importants, sauf quelques rares cas de serveurs mal configurés, 9 fois sur 10 un bon hacker arrive avec tout ce qu'il faut pour utiliser le compte
ayant déjà collecté les infos coté point faible, l'utilisateur,
j'ai publié il y à quelques mois un code pour hacker les audiocodes avec 50% de réussite.
Bricolez un petit
robot (même pas dur a faire) pour scanner des ranges d'ip en permanence
ou mieux (mais légèrement plus complexe) le distribuer le sous forme de Virus :-) et vous pouvez scanner le monde et obtenir des comptes valides frais chaque matin en vous levant :-)

[jean]

pas franchement compris ta réponse...

bien sur, l'utilisateur est un point faible (nous serions tous plus heureux sans utilisateurs... ou pas !). C'est pour ca que certains soft, comme freepbx ont des modules de détection de password faibles

en revanche, bien sur que c'est simple de scanner... mais avec un bon iptables et un fail2ban, un scanner sans relation avec un utilisateur a du mal rentrer

[ds3]

nous serions tous plus heureux sans utilisateurs... ou pas

Il est quand même préférable d'avoir des utilisateurs, que ferions nous sans eux ?!

[ffossard]

Il pourrait être intéressant de mettre en place un serveur Asterisk "pot de miel" qui récupère les ip, le nombre de tentatives depuis chaque, la date de la dernière, etc... et de partager tout ça entre les membres de l'asso

[jean]

@ds3 - Umour évidemment ;-) (sans bande dessinée...)

@ffossard - il y a tellement d'ip qui scannent... en fait j'ai un honey pot, mais qui me permet de récupérer les signatures des scanners, et je les rajoute dans mes iptables.

je reste convaincu que cette technique (signatures dans iptables) est la plus efficace en premier niveau... il en faut d'autres pour ceux qui passent, mais ils sont rares !

J.

[jean]

alors que mes iptables choppent 3-4 scanners / jour

Salut à tous

Je reviens sur le sujet des scanners... ce thread a 15 mois si je ne trompe, et j'étais à 3-4 scans par jour... je suis maintenant à 10-15 robots par jour qui essaient de scanner mes ips... (par ip)

Est ce que vous aussi, vous avez constaté une augmentation du nombre de scans ?

J.

[fastm3]

Je regarde meme plus les logs de scans 5060 vu qu'il n'y aucune chance que le hack puisse avoir lieu par la sur mes installs.
Pour les extensions locales , l'authentification n'est de plus autorisée que depuis le subnet local juste au cas ou...Les extensions remotes , seulement de l'ip prevue.

Pour debuter ( on voit souvent le contexte defaut utilisé pour tout...), il est vraiment conseiller de ne pas laisser le port sip ouvert à tous avec un systeme de liste blanche ou meme tout fermer en s'amusant en local.

Mais oui, les logs montre que le port 5060 est de plus en plus scanné. Le changer n'est pas vraiment plus safe, mais au moins limite les probabilités de scans.
Fastm3.

[Comdif]

Perso pas le choix puisque j'exploite et entretient des switch online
ce que je fais en général c'est évaluer les clients susceptibles de s'y connecter
fai, pays ou mieux ip fixe et je bloque tout le reste sur Iptables.
Refus des forward anonymes et quand j'en ai besoin je crée un pseudo trunk.
Avec ces quelques règles les scan SIP et tentatives sont devenus assez rares.