Me parece que están atacando mi Elastix

Discussion in 'Elastix 2.x' started by hugo_cba, Dec 21, 2009.

  1. hugo_cba

    Joined:
    May 22, 2008
    Messages:
    222
    Likes Received:
    0
    Estimados:
    Recibí un par de llamadas en un interno provenientes de una cuenta SIP y otra de una cuenta Asterisk.
    Tengo configurado que rechace la autentificación de los anónimos.
    Uso elastix 1.5.2
    No me hago muchos problemas porque mi server tiene una sola línea conectada y es de una central más grande. Según veo en la tarifación de la central más grande, no tengo otras llamadas fuera de las que yo hago.
    Como puedo empezar a investigar que está pasando?

    En el CDR de Elastix puedo ver las llamadas... pongo un par de archivos del CDR para que lo vean.
    Que Debug puedo activar, o como puedo empezar a ver este tema?
     
  2. hugo_cba

    Joined:
    May 22, 2008
    Messages:
    222
    Likes Received:
    0
    Perdón que me auto responda, pero no podía adjuntar el archivo...:angry:

    Quedo a la espera de cualquier pista que me puedan dar para empezar a investigar.... :unsure: http://forum.elastix.org/old_files/CDR.zip
     
  3. asepulveda

    Joined:
    Jun 23, 2008
    Messages:
    400
    Likes Received:
    0
    mira con cdrs es muy dificil de saber q onda por q no dicen mucho, definitivamente con logs es mas acil , epro vamos por partes , tienes tu conmutador abierto a internet? que puertos tienes , tus contraseñas de ext y root son complejas o sencillas?

    te recomiendo siempre tener un firewall o minimo usa fail2ban para bloquear ataques para intentar adivinar ttus contraseñas.


    saludos
     
  4. hugo_cba

    Joined:
    May 22, 2008
    Messages:
    222
    Likes Received:
    0
    Hola Asepulveda, gracias por responder.

    Primero felicitaciones por tu mención como miembro de la comunidad del mes!

    Mi server está en internet con los puertos del 10000 al 20000 y el 4XXX (no me acuerdo cual es) de IAX. No tiene abierto ningún otro puerto, en realidad estoy detrás de un firewall de mi trabajo.

    Las claves de extensiones y de root son relativamente sencillas (sobre todo las de extensiones). Es un server de pruebas, que tiene una sola línea de otra central telefónica, por lo que no me preocupa mucha. Pero si quiero aprender como rastrear el ataque. Precisamente ese es el objetivo de esta instalación.

    Preguntas:

    1.- Si tengo el alwaysreject=yes, no tienen que entrar llamadas SIP?
    2.- Si alguien intenta usar el server debería crearse una extensión en ext_custom?
    3.- Fail2Ban va bloqueando las ip con IPTables?

    Desde ya muchas gracias por responder y felicitaciones de nuevo. Yo siempre trato de dar una mano, pero ayudo en lo más sencillo :blink: .

    Saludos cordiales
     
  5. alwayson

    Joined:
    Nov 16, 2009
    Messages:
    48
    Likes Received:
    0
    Estimado Hugo, creo que de arranque cambiaria las claves por alfanumerico, mezclando MAY ,minusculas y caracteres ~, æ (alt 145), *,
     

Share This Page