From: "Dmitry Akindinov" Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14) with PIPE id 548312991; Fri, 04 Jan 2013 22:25:22 +0400 X-Spam-Status: No, hits=-1.3 required=5.0 tests=AWL,BAYES_00,RP_MATCHES_RCVD, SPF_HELO_PASS,SPF_PASS autolearn=ham version=3.3.2-st1.demos X-Spam-Level: X-Spam-Checker-Version: SpamAssassin 3.3.2-st1.demos (2011-06-06) X-Spam-Report: -1.3 points, 5.0 required; * -0.0 SPF_HELO_PASS SPF: HELO matches SPF record * -0.0 SPF_PASS SPF: sender matches SPF record * -0.8 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain * -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1% * [score: 0.0000] * 0.0 AWL AWL: From: address is in the auto white-list Received: from moscow.stalker.com ([89.175.185.228] verified) by mx.demos.su (CommuniGate Pro SMTP 5.0.14) with ESMTP id 548313003 for CGatePro@mx.ru; Fri, 04 Jan 2013 22:25:14 +0400 Received: from [37.204.163.96] (account dimak@mail.moscow.stalker.com HELO [192.168.0.112]) by mail.moscow.stalker.com (CommuniGate Pro SMTP 6.0.2k) with ESMTPSA id 35872243 for CGatePro@mx.ru; Fri, 04 Jan 2013 22:25:09 +0400 Message-ID: <50E71E7F.6050607@stalker.com> Date: Fri, 04 Jan 2013 22:25:03 +0400 Organization: Stalker Labs User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20120614 Thunderbird/13.0.1 MIME-Version: 1.0 To: CommuniGate Pro Russian Discussions Subject: Re: [CGP] =?KOI8-R?Q?=FA=C1=DD=C9=D4=C1_=D3=C5=D2=D7=C5=D2=C1_?= =?KOI8-R?Q?CGP_=CF=D4_=C2=D2=D5=D4=C6=CF=D2=D3=C1=2E?= References: In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Здравствуйте, On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote: > Версия Сервера: 5.4.8 Если на короткое время увеличить детализацию логов SIP Transport - видно ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто запросы REGISTER, на которые сервер отвечает 401? Можно кусочек лога на support@communigate.com ? > -----Original Message----- > From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] > Sent: Friday, January 04, 2013 8:17 PM > To: CommuniGate Pro Russian Discussions > Subject: Re: [CGP] Защита сервера CGP от брутфорса. > > здравствуйте, > > On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote: >> >> Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина. >> В наблюдении -> Real-Time -> SIP -> Прием >> 81176 31 сек ожидание (1sec) completed udp[хх.хх.хх.хх]:8570 SIGNAL-264970 REGISTER sip:yy.yy.yy.yy >> Таких записей на несколько страниц, помогает только бан через ipfw. > > А версия CGpro у вас какая? > >> -----Original Message----- >> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >> Sent: Friday, January 04, 2013 4:59 PM >> To: CommuniGate Pro Russian Discussions >> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >> >> Здравствуйте, >> >> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote: >>> Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно. >> >> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом? >> >>> Я так понял, что брут занимает все сокеты. >> >> С UDP? Там для работы один сокет нужен... >> >>> Отсюда вопрос, где лежит список временно блокируемых адресов? >>> Хочу этот список использовать для закрытия доступа на уровне файрвола. >> >> CLI: GetTemBlacklistedIPs >> >> >>> -----Original Message----- >>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >>> Sent: Friday, November 02, 2012 2:20 PM >>> To: CommuniGate Pro Russian Discussions >>> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >>> >>> Здравствуйте, >>> >>> в WebAdmin на странице Settings->Network->Blacklisted IPs есть >>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP. >>> (если у Вас кластер, то она будет только во вкладке Cluster-wide) >>> >>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote: >>>> Всем добрый день, >>>> Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185. >>>> Пока я спал, сервис SIP не работал. >>>> Господа, посоветуйте пожалуйста, защиту от подобных атак. >>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например. >>>> CGP стоит на FreeBSD 8.2 >>>> >>>> Best Regards, >>>> Victor Shkrob, >>>> IT Engineer >> >> >> -- >> Best regards, >> Dmitry Akindinov >> >> >> >> ################################################################## >> Вы получили это сообщение потому, что подписаны на список рассылки >> . >> >> Чтобы отписаться, отправьте сообщение на адрес >> Чтобы переключиться в режим дайджеста - mailto: >> Чтобы переключиться в индексный режим - mailto: >> Для административных запросов адрес Архив >> списка: http://mx.demos.su/lists/cgp-russian/ >> >> >> >> >> >> >> >> ################################################################## >> Вы получили это сообщение потому, что подписаны на список рассылки >> . >> >> Чтобы отписаться, отправьте сообщение на адрес >> Чтобы переключиться в режим дайджеста - mailto: >> Чтобы переключиться в индексный режим - mailto: >> Для административных запросов адрес Архив >> списка: http://mx.demos.su/lists/cgp-russian/ >> >> >> > > -- > Best regards, > Dmitry Akindinov > > > > ################################################################## > Вы получили это сообщение потому, что подписаны на список рассылки > . > > Чтобы отписаться, отправьте сообщение на адрес > Чтобы переключиться в режим дайджеста - mailto: > Чтобы переключиться в индексный режим - mailto: > Для административных запросов адрес > Архив списка: http://mx.demos.su/lists/cgp-russian/ > > > > > > > > ################################################################## > Вы получили это сообщение потому, что подписаны на список рассылки > . > > Чтобы отписаться, отправьте сообщение на адрес > Чтобы переключиться в режим дайджеста - mailto: > Чтобы переключиться в индексный режим - mailto: > Для административных запросов адрес > Архив списка: http://mx.demos.su/lists/cgp-russian/ > > > -- Best regards, Dmitry Akindinov