RE: Nedělní OT: síťové útoky a co s nimi ?

Serych Jakub Serych@panska.cz
Neděle Červen 7 08:54:02 CEST 2009 

A nepomohlo by neco ve smyslu DenyHosts? To na SSH utoky pracuje zcela
spolehlive, takze myslim, ze na SIP by neco takoveho mohlo take zabirat.
Dokonce by mozna stalo za to poradne prozkoumat konfigurak DenyHosts, jestli
by to nahodou neslo na SIP priohnout (nikdy jsem se jim ovsem nezabyval
hloubeji nez potrebuji pro ochranu SSH, takze nevim jestli to jde nebo ne).

Pekny den

Jakub Serych  

> -----Original Message-----
> From: hw-list-bounces@list.hw.cz 
> [mailto:hw-list-bounces@list.hw.cz] On Behalf Of Pavel Troller
> Sent: Sunday, June 07, 2009 6:01 AM
> To: hw-list@list.hw.cz
> Subject: Nedělní OT: síťové útoky a co s nimi ?
> 
> 
> 
>    Zdravím při neděli,
>    tak tu mám zase lahůdku pro počítačové, nyní spíše síťové 
> specialisty, adminy a další inteligenty :-).
>    Včera odpoledne se jedna z mých SIP ústředen stala obětí 
> útoku. Tento je veden z IP adresy z amerického IP prostoru - 
> 216.245.200.107. Je zřejmě použito tohoto nástroje: 
> http://sipvicious.googlecode.com v režimu bruteforce hádání 
> hesla SIP účastníka.
>    Brute force útoku je skutečně morbidní - cca 180 REGISTER 
> žádostí za sekundu, což ústřednu (Asterisk) prakticky 
> vyřadilo z provozu. Tím jsem také na útok přišel. 
> Bezprostřední řešení - zápis útočící IP adresy do iptables 
> samozřejmě systému ulevil, avšak cca 550 kbit/s útočícího 
> provozu mi dosud (cca 5:30 ráno) teče do sítě a to je 
> polovina toku, který mám k dispozici.
>    Velmi zajímavé je, jak útok vznikl. Včera kolem 15:40 jsem 
> telefonoval z pobočky z určitým číslem přes tuto ústřednu. Za 
> cca 3 minuty započal z výše uvedené IP adresy útok na přesně 
> to číslo pobočky, z něhož jsem volal. 
> Volal jsem přes nezabezpečené WiFi operátora Ralsko.Net (z 
> chalupy, kde je toto připojení jednou z mála přijatelných 
> alternativ). Navíc byl provoz veden ipip tunelem 
> (nešifrovaným, pro šifrování nemají mé routery dostatek 
> výkonu, pokud je zapnu, telefonování stojí za prd).
>    Útočník však neví, že to, co se snaží cracknout, vůbec 
> není účastník, ale trunk, čili k registraci nedochází a 
> vzájemná autorizace je pomocí pevných IP adres. Ten asterisk 
> tedy vůbec na ty REGISTER requesty neodpovídal, pouze 180x za 
> sekundu generoval chybový výpis do logu, což byla 
> bezprostřední příčina jeho zneschopnění (log za dobu útoku - 
> několik hodin, než jsem útočníka zablokoval, dosáhl cca 650 
> MB). Útok je tedy úplně zpackaný od samého začátku, nemohl 
> být nikdy úspěšný, ale přesto dosud trvá, již cca 15 hodin. 
> Zdá se, že útočník je naprostý idiot (script kiddie), který 
> skutečně umí jen pustit script a jít od toho a čekat na výsledek.
>    Tak, a teď: Co s tím ? Samozřejmě jsem napsal na abuse 
> e-mail ISP, z něhož útok vychází (limestonenetworks.com), aby 
> útočníka dohledali a zablokovali.
> Samozřejmě neodpověděli - jsem zvědav, zda odpoví alespoň v 
> pondělí, kdy už bude útok asi ukončen. Dále jsem zadal 
> útočící IP do google a vida, našel jsem cca 3 odkazy, 
> svědčící o tom, že nejsem jedinou obětí. Dotyčná IP byla již 
> použita ke crackování SIP ústředen, avšak v jiném režimu (šlo 
> o průběžný jednorázový scan rozsahu čísel, nikoli soustředěný 
> útok na jedno číslo). Tyto útoky byly registrovány v jiných 
> částech světa. Dále je zajímavé, že je útočeno z portu 5089. 
> Normální SIP má port 5060. Zdroják té utility jsem nečetl, 
> ale předpokládám, že při vytváření socketu, najde-li port 
> obsazený, zkouší další vyšší. To by vedlo k předpokladu, že 
> akutálně systém útočí na nějakých 29 cílů.
>    Vzhledem ke globalitě útoků mi není úplně jasná vazba mezi 
> mým místním hovorem v ČR a útokem. Ten útočící stroj jsem 
> samozřejmě nmapoval, je to Linux (Debian) a běží na něm 
> apache2 (jen defaultní stránka, neznáte-li nějaké bližší 
> URL), ssh, smtp a mysql. Nenašel jsem stopy po vyhackování 
> (atypicky otevřené porty atd.), což ale nemusí nic znamenat. 
> Může jít o stroj vyloženě zřízený k těmto účelům. Pak je 
> zajímavé, kdo jej používá - zda jde o síť mezinárodních VoIP 
> crackerů, která má "prsty všude" (už jsem pomáhal objasnit 
> některé úspěšné útoky na VoIP v mém okolí, stává se to pomalu 
> častým jevem), nebo zda nějaký místní šťoural jen má do něj 
> přístup (ale pak by vlastně byl součástí té sítě, jde jen o 
> jiný pohled).
>    Mám obavu, že obrátit se např. na policii ČR by mi asi moc 
> nepomohlo, pochybuji, že by něco řešili, když je to tak, jak 
> jsem popsal. Má někdo s řešením takového útoku ze zahraničí 
> zkušenosti ? Má to vůbec smysl to zkoušet, nebo je lepší 
> prostě zatnout zuby, provést maximální protiopatření, 
> obětovat půlku ingresu a doufat, že to brzy přejde ?
> 
>    Zdraví Pavel Troller
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz 
> Hw-list@list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
>

Další informace o konferenci Hw-list