From: "Dmitry Akindinov" Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14) with PIPE id 548363415; Tue, 22 Jan 2013 19:08:46 +0400 X-Spam-Status: No, hits=-1.3 required=5.0 tests=AWL,BAYES_00,RP_MATCHES_RCVD, SPF_HELO_PASS,SPF_PASS autolearn=ham version=3.3.2-st1.demos X-Spam-Level: X-Spam-Checker-Version: SpamAssassin 3.3.2-st1.demos (2011-06-06) X-Spam-Report: -1.3 points, 5.0 required; * -0.0 SPF_HELO_PASS SPF: HELO matches SPF record * -0.0 SPF_PASS SPF: sender matches SPF record * -0.8 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain * -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1% * [score: 0.0000] * 0.0 AWL AWL: From: address is in the auto white-list Received: from moscow.stalker.com ([89.175.185.228] verified) by mx.demos.su (CommuniGate Pro SMTP 5.0.14) with ESMTP id 548363410 for CGatePro@mx.ru; Tue, 22 Jan 2013 19:08:42 +0400 Received: from [37.204.163.96] (account dimak@mail.moscow.stalker.com HELO [192.168.0.112]) by mail.moscow.stalker.com (CommuniGate Pro SMTP 6.0.2u) with ESMTPSA id 36122951 for CGatePro@mx.ru; Tue, 22 Jan 2013 19:08:36 +0400 Message-ID: <50FEAB71.3090701@stalker.com> Date: Tue, 22 Jan 2013 19:08:33 +0400 Organization: Stalker Labs User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20120614 Thunderbird/13.0.1 MIME-Version: 1.0 To: CommuniGate Pro Russian Discussions Subject: Re: [CGP] =?KOI8-R?Q?=FA=C1=DD=C9=D4=C1_=D3=C5=D2=D7=C5=D2=C1_?= =?KOI8-R?Q?CGP_=CF=D4_=C2=D2=D5=D4=C6=CF=D2=D3=C1=2E?= References: In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Здравствуйте, On 2013-01-21 15:44, Шкроб Виктор Николаевич wrote: > Добрый день! > Вот дождался очередного брута, отвечаю... > Кусок лога в атаче. А в WebAdmin -> Settings -> Network -> Blacklisted IPs -> Temporarily Blocked IP Addresses -> Block after XXX failed logins / protocol errors у вас точно включено? Лог у вас показан, когда очередь событий в SIPS ужепереполнена. Вопрос - чем? WebAdmin -> Settings -> Router -> Test Address [Access/Signal] что даёт для 3/11/60@178.136.252.28 ? > Во время атаки с сервером работать невозможно. > Помогает только бан с помощью файрвола. > Подскажите, как с этим бороться? > CGPro умеет создавать файл с банлистом? Чтобы я мог его прикрутить к IPFW на роутере. > > > Best Regards, > Victor Shkrob, > > -----Original Message----- > From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] > Sent: Friday, January 4, 2013 8:25 PM > To: CommuniGate Pro Russian Discussions > Subject: Re: [CGP] Защита сервера CGP от брутфорса. > > Здравствуйте, > > On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote: >> Версия Сервера: 5.4.8 > > Если на короткое время увеличить детализацию логов SIP Transport - видно ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто запросы REGISTER, на которые сервер отвечает 401? > Можно кусочек лога на support@communigate.com ? > >> -----Original Message----- >> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >> Sent: Friday, January 04, 2013 8:17 PM >> To: CommuniGate Pro Russian Discussions >> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >> >> здравствуйте, >> >> On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote: >>> >>> Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина. >>> В наблюдении -> Real-Time -> SIP -> Прием >>> 81176 31 сек ожидание (1sec) completed udp[хх.хх.хх.хх]:8570 SIGNAL-264970 REGISTER sip:yy.yy.yy.yy >>> Таких записей на несколько страниц, помогает только бан через ipfw. >> >> А версия CGpro у вас какая? >> >>> -----Original Message----- >>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >>> Sent: Friday, January 04, 2013 4:59 PM >>> To: CommuniGate Pro Russian Discussions >>> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >>> >>> Здравствуйте, >>> >>> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote: >>>> Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно. >>> >>> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом? >>> >>>> Я так понял, что брут занимает все сокеты. >>> >>> С UDP? Там для работы один сокет нужен... >>> >>>> Отсюда вопрос, где лежит список временно блокируемых адресов? >>>> Хочу этот список использовать для закрытия доступа на уровне файрвола. >>> >>> CLI: GetTemBlacklistedIPs >>> >>> >>>> -----Original Message----- >>>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >>>> Sent: Friday, November 02, 2012 2:20 PM >>>> To: CommuniGate Pro Russian Discussions >>>> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >>>> >>>> Здравствуйте, >>>> >>>> в WebAdmin на странице Settings->Network->Blacklisted IPs есть >>>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP. >>>> (если у Вас кластер, то она будет только во вкладке Cluster-wide) >>>> >>>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote: >>>>> Всем добрый день, >>>>> Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185. >>>>> Пока я спал, сервис SIP не работал. >>>>> Господа, посоветуйте пожалуйста, защиту от подобных атак. >>>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например. >>>>> CGP стоит на FreeBSD 8.2 >>>>> >>>>> Best Regards, >>>>> Victor Shkrob, >>>>> IT Engineer -- Best regards, Dmitry Akindinov