securité

[mistergorgo]

bonjour les amis,
j'en reviens à vous denouveau pour un problème de sécurité:

un client sous trixbox est victime de nombreuses tentatives authentification:

Dec 3 14:16:31] NOTICE[5237] chan_sip.c: Registration from '"kf8kh" <sip:kf8kh@monIPpublique>' failed for '188.138.108.153' - No matching peer found

je gère le firewall et j'ai fermé tout depuis l'extérieur vers l'intérieur except pour le fournisseur ovh, mais rien n'y fait, ça continue d'essayer de s'authentifier

pour l'instant ça ne correspond pas avec des user existant mais je pense qu'ils vont finir par y arriver et après ils feront des essais sur les mots de passe (ils sont suffisamment tordus mais je m'inquiète quand même)

pouvez-vous m'aider?


merci bien

f

[speederyoyo02]

Bonjour Mistergorgo,

j'ai eu il y à peu le même soucis sur un xivo où je n'administrais pas le firewall.pour
par contre, avec comme inscidence de saturer la CPU avec le service Asterisk et planté l'IPBX :-( :-(

Je peux te donner cette commande:

iptables -A INPUT -s 192.96.206.247 -j DROP

pour moi, l'IP qui m'attaquait était la 192.96.206.247 un jour, puis une fois bloqué, c'était une autre le lendemain......

Cette commande va te bloquer ses attaques une fois que les corrections sur le firewall de ta boite auront était faits, tu pourra
la supprimer avec cette commande:

iptables -D INPUT -s 192.96.206.247 -j DROP


Ton client n'a pas de fail2ban sur son IPBX ?

Pour ma part, les attaques étaient tellement brutales qu'il arrivait à le survoler..... plus de 12 000 attaques pour 2 mn de supervision....

Ces attaques se sont arrêter lorsque le DSI de notre boite a modifié des règles sur notre Firewall..

Cdt

[mistergorgo]

hello à tous
merci pour la réponse

c'était un "ridicule" problème de firewall
la conf corrigée tout est rentré dans l'ordre

par contre ça a permis de mettre à jour un autre problème concernant les "anonymous sip"

je vais en profiter pour ouvrir un autre post