Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Aanvallen op Asterisk nemen prefecionele vormen aan
04-11-2010, 08:50 door Anoniem, 15 reacties
We ervaren al langer aanvallen op onze asterisk servers.
We bij ze van buitenaf als sip device proberen aan te melden dmv een dictionary attack.
Echt lijkt de aanvallen sinds afgelopen weekend profecionelere vormen aan te nemen.
Waar ze vroeger slechts enkel computers gebruikte lijken ze nu over een groot botnet te beschikken.
Wanneer een ip adres ge banned word gaat een volgende computer weer verder waar de laatste is gebleven.
gemiddelde bannen we 7 computers per minuut
die ieder 5 pogingen krijgen.
er worden veelal asiatische ip adressen gebruikt
Ik vermoed dat een bende uit Roemenie hier achter zit
F.Y.I.
We bij ze van buitenaf als sip device proberen aan te melden dmv een dictionary attack.
Echt lijkt de aanvallen sinds afgelopen weekend profecionelere vormen aan te nemen.
Waar ze vroeger slechts enkel computers gebruikte lijken ze nu over een groot botnet te beschikken.
Wanneer een ip adres ge banned word gaat een volgende computer weer verder waar de laatste is gebleven.
gemiddelde bannen we 7 computers per minuut
die ieder 5 pogingen krijgen.
er worden veelal asiatische ip adressen gebruikt
Ik vermoed dat een bende uit Roemenie hier achter zit
F.Y.I.
Reacties (15)
Ze proberen te bellen naar dure nummers in verschillende landen.
een aantal van de nummers zijn:
0038733960138 (Serbia)
0018769221000 (Australia)
0040746755103 (Romania)
0040767443933 (Romania)
00263912798866 (Zimbabwe)
0027117149111 (south africa)
een aantal van de nummers zijn:
0038733960138 (Serbia)
0018769221000 (Australia)
0040746755103 (Romania)
0040767443933 (Romania)
00263912798866 (Zimbabwe)
0027117149111 (south africa)
Beste Anoniem,
Zou je je tekst even over willen lezen, of als je nederlands niet zo goed is het in het engels willen posten. ik kan er maar moeilijk wat van maken.
Zou je je tekst even over willen lezen, of als je nederlands niet zo goed is het in het engels willen posten. ik kan er maar moeilijk wat van maken.
' prefecionele': is dat hetzelfde als 'Proffessionele' ?
Een bende uit Roemenie met Aziatische IP adressen?
Vreemde FYI dit verhaal.
Een bende uit Roemenie met Aziatische IP adressen?
Vreemde FYI dit verhaal.
04-11-2010, 10:07 door
Spiff has left the building
Is het beheer van je servers net zo goed als je beheersing van het Nederlands?
Veel sterkte dan toegewenst.
Veel sterkte dan toegewenst.
Het is waarschijnlijk een berichtje van die bende uit Roemenie die even wil weten wat voor maatregelen wij voorstellen zodat ze zelf tegenmaatregelen kunnen nemen... ;-)
Ik zou in ieder geval (tijdelijk) het aantal toegestane pogingen terugbrengen naar b.v. 3.
Ik zou in ieder geval (tijdelijk) het aantal toegestane pogingen terugbrengen naar b.v. 3.
ik ben overigens niet de enige die gemerkt heeft dat aanvallen erg heftig waren in dat weekend:
http://blog.sipvicious.org/2010/11/distributed-sip-scanning-during.html
was deze posting dan toch nieuwswaardiger als de meeste van jullie dachten?
http://blog.sipvicious.org/2010/11/distributed-sip-scanning-during.html
was deze posting dan toch nieuwswaardiger als de meeste van jullie dachten?
nice work - please contact me on my email address (sandro AT enablesecurity.com) as I'd love to chat more about this
06-12-2010, 14:33 door
Syzygy
Om de sip telefoons aan te melden heb je een id en password nodig
Zorg dat je passwords lang genoeg zijn (bijv. 8 karakters) en buiten letters en cijfers om uit o.a. "printbare tekens" bestaan (zoals !@#$%^&*() etc.) dan haalt die Dictionary Attack ook niet veel meer uit (een BF ook niet trouwens) .
Je kunt die ip addressen wel gaan bannen maar dan loop je steeds achter de feiten aan.
Wat je ook kunt doen is het bekijken vanuit wie WEL MOGEN INLOGGEN i.p.v. wie niet mogen inloggen (Aziatische IP nummers) . Dus uit welke netwerken (lees IP ranges) komen je "klanten", geef die ACCESS en de rest DENY
(tenzij je legitieme gebruikers ook uit Aziatische landen moeten kunnen inloggen)
Afijn je snapt de bedoeling wel denk ik.
Zorg dat je passwords lang genoeg zijn (bijv. 8 karakters) en buiten letters en cijfers om uit o.a. "printbare tekens" bestaan (zoals !@#$%^&*() etc.) dan haalt die Dictionary Attack ook niet veel meer uit (een BF ook niet trouwens) .
Je kunt die ip addressen wel gaan bannen maar dan loop je steeds achter de feiten aan.
Wat je ook kunt doen is het bekijken vanuit wie WEL MOGEN INLOGGEN i.p.v. wie niet mogen inloggen (Aziatische IP nummers) . Dus uit welke netwerken (lees IP ranges) komen je "klanten", geef die ACCESS en de rest DENY
(tenzij je legitieme gebruikers ook uit Aziatische landen moeten kunnen inloggen)
Afijn je snapt de bedoeling wel denk ik.
ik(topic poster) gebruik nu de alwaysauthreject=yes optie in de sip.conf
dit voorkomt accountscanning.
sinds afgelopen weekend is er geen enkle poging meer gedaan om sip accounts te hacken :)
Dat heb ik nog niet eerder meegemaakt.
Bedankt voor jullie bijdrage!!
dit voorkomt accountscanning.
sinds afgelopen weekend is er geen enkle poging meer gedaan om sip accounts te hacken :)
Dat heb ik nog niet eerder meegemaakt.
Bedankt voor jullie bijdrage!!
"Een bende uit Roemenie met Aziatische IP adressen?"
Het is bij cybercrime de normaalste zaak van de wereld om (waarschijnlijk gehackte) systemen in andere landen te gebruiken.
Het is bij cybercrime de normaalste zaak van de wereld om (waarschijnlijk gehackte) systemen in andere landen te gebruiken.
07-12-2010, 16:06 door
Syzygy
SIp heeft een bekend poortnummer 5060 dus daar scannen ze op en ze zijn jou tegengekomen.
Bad Luck
Dan proberen ze daarmee wat geld te verdienen
Een klein jaar geleden kwam ik ook met die vulnerability maar dan in een andere context ( via Wifi), dit is ook een manier om het te proberen.
Bad Luck
Dan proberen ze daarmee wat geld te verdienen
Een klein jaar geleden kwam ik ook met die vulnerability maar dan in een andere context ( via Wifi), dit is ook een manier om het te proberen.
07-12-2010, 16:55 door
spatieman
IP's gaan bannen ,pff.
ban gewoon het komplete subnet !
ban gewoon het komplete subnet !
SIP attacks zijn schering en inslag momenteel. Het enige wat je kan doen in idd na x-aantal pogingen de boel blocken.
Afhankelijk van je configuratie kan je gewoon alles blocken.
De meeste Asterisk systemen zijn PBXen. Die PBX systemen hoeven uitsluitend met hun SIP trunk te communiceren, het is dan absoluut niet nodig om poort 5060 voor de hele wereld open te zetten.
Maarja, beveiliging hé, zolang het werkt niet verder kijken dan je neus lang is.
Afhankelijk van je configuratie kan je gewoon alles blocken.
De meeste Asterisk systemen zijn PBXen. Die PBX systemen hoeven uitsluitend met hun SIP trunk te communiceren, het is dan absoluut niet nodig om poort 5060 voor de hele wereld open te zetten.
Maarja, beveiliging hé, zolang het werkt niet verder kijken dan je neus lang is.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
