Страница 888 из 2792
Добавлено: 05 апр 2025, 12:22
notify_ded_bot
А ничего не помогает больше, на всех уровнях. Ни полный запрет на весь трафик, кроме админского с конкретного IP, ни ebtables / ebtables, ни modprobe с netfilter, ни сброс всех соединений с полным выключением всех интерфесов на время, ни выключение Астериск. Анализ dump через wireshark, а также анализ логов firewall показал, что я нарвался на изощренного хакера, который использует сотни IP, прокси, сотни макадресов, частота и паттерны запросов постоянно меняются. Запросы минуют все возможные самые жесткие запреты на всех уровнях файерволлов, минуют Nat и инжектируются сразу в ядро Ubuntu, видимо из-за особенностей инфраструктуры reg.ru.
Если не использовать VPN, придётся пробовать скорее OpenSips, расположенный перед сервером Aster, сервер с OpenSips (с ним проще будет настроить анализ SIP-запросов, который будет пропускать далее в Астер только запросы с верными параметрами), помимо этого этот прокси-сервер будет ещё виртуальным роутером скорее всего, плюс обманки с эмулятором ложных ответов якобы от Астера.
Наверное как-то так пока это видится.
У вас скорее всего default rule на input iptables стоит accept
Добавлено: 05 апр 2025, 12:24
notify_ded_bot
Для обычного сисадмина это действительно оказалось всё сложно. Но tcpdump снимался уже для анализа деталей в wireshark, содержимого запросов.
Всё началось с того, что были массовые отображения запросов в sngrep, который как я понимаю показывает запросы после firewall и он показывал их при полном запрете на весь трафик на всех уровнях, кроме админского с конкретного единственного IP. В погоне за баном злоумышленника уже под 4 утра я забанил все входящие на локальную машину и потерял доступ вообще к VPS ?. Вот с утра восстановил через прямую админ консоль.
Чуть отдохну, (спал 4 часа) и пойду разбираться дальше. Но всё равно спасибо, замечание по ответам Астер - верное, нужно будет ещё раз посмотреть, но он отвечал на некоторые. Злоумышленник очень разнообразно проксируется, меняет идентификаторы sip-клиентов, которые всё больше похожи на реальные реги реальных софтфонов, используемых нами, меняет внешние и локальные IP, макадреса. Все - разные.
хоспади, tcpdump и sngrep показывают ВСЕГДА и ВСЕ пакеты до фаерволла!!
если вы видите INVITE и он без ответа - значит он был отфильтрован fw и не дошел до приложения (в вашем случае астериск)
если астер отвечает - значит не отфильтровался на fw
Добавлено: 05 апр 2025, 12:24
notify_ded_bot
реально каша + недосып
Добавлено: 05 апр 2025, 12:26
notify_ded_bot
Злоумышленик )))
это блин куча разных автоматических сканнеров которые увидели ваш астер и начали подбор методов для взлома.
это норма! (с)
с этим мы все живем
Добавлено: 05 апр 2025, 12:26
notify_ded_bot
хоспади, tcpdump и sngrep показывают ВСЕГДА и ВСЕ пакеты до фаерволла!!
если вы видите INVITE и он без ответа - значит он был отфильтрован fw и не дошел до приложения (в вашем случае астериск)
если астер отвечает - значит не отфильтровался на fw
Я не помню точно, но вроде sngrep захватывает после fw
Добавлено: 05 апр 2025, 12:26
notify_ded_bot
Я не помню точно, но вроде sngrep захватывает после fw
нет! всегда ДО
Добавлено: 05 апр 2025, 12:27
notify_ded_bot
снгреп использует libpcap для захвата пакетов
почитайте как она работает
Добавлено: 05 апр 2025, 12:27
notify_ded_bot
...и что еще пользует эту же либу
Добавлено: 05 апр 2025, 12:27
notify_ded_bot
снгреп использует libpcap для захвата пакетов
почитайте как она работает
Да, согласен, Вы правы
Добавлено: 05 апр 2025, 12:28
notify_ded_bot
...и что еще пользует эту же либу
Тспдумп)