Page 2 sur 2

Message Publié : 23 Nov 2012 16:03
par mackguil
torentbit a écrit :
Lemm a écrit :J'ai également filtré les appels sortants. Seuls les destinations gratuites sont autorisées. Plus ou moins.


tu a fait cela comment ?les indicatif des pays ?


Via une liste blanche.

Message Publié : 05 Déc 2012 11:41
par Lemm
J'ai mis un peu près tous les indicatifs payants dans la liste noire.

Message Publié : 28 Déc 2012 15:21
par Le Zitan
je pense que l'IP qui envoie les appels sera toujours Belgacom si il s'agit de Premium calls (les appels vers numéros surtaxés. Ce genre de fraude existe de plus en plus. Rien ne vaut le prepaid.. et de bonnes sécurisations de son réseau aux pings des pirates

Message Publié : 12 Jan 2013 20:56
par net_papy
Bonjour, j'ai été piraté sur mon compte Justvoip et 3 Stars limité à 10 €
Ovh n'a pas été piraté.
Sur mon Asterisk j'ai mis deny 0.0.0.0, renforcé mes mots de passe et interdir dans le Dialplan les n° internationaux. Depuis c'est ok
C'est pas les comptes serveurs qui sont hackés, ce sont nos ordinateurs

Message Publié : 13 Jan 2013 14:42
par mackguil
net_papy a écrit :Bonjour, j'ai été piraté sur mon compte Justvoip et 3 Stars limité à 10 €
Ovh n'a pas été piraté.
Sur mon Asterisk j'ai mis deny 0.0.0.0, renforcé mes mots de passe et interdir dans le Dialplan les n° internationaux. Depuis c'est ok
C'est pas les comptes serveurs qui sont hackés, ce sont nos ordinateurs


Ton serveur asterisk est accessible depuis le net?

Nattage de ports?

Message Publié : 13 Jan 2013 18:15
par net_papy
Non le serveur est je pense inaccessible du moins je l'espère, sinon i faudrait faire un tunnel, mais je n'y connais pas grand-chose.
Le deny 0.0.0.0 interdit l’accès de l'extérieur au serveur, mais au niveau de celui-ci
Dans le sip config nat=yes mais au niveau des poste le nat n'est pas coché.
Les dialplan limitent l'accès à l'international dont j'ai besoin 33 49, quand on est hacké ce sont des coup de fil vers le benin, le togo ......pas gratuit chez OVH

J'ai un modem Netgear DGN2200 plus sur que le précédent. Mais le log me montre tjrs des dos attack

Message Publié : 13 Jan 2013 20:29
par mackguil
net_papy a écrit :Non le serveur est je pense inaccessible du moins je l'espère, sinon i faudrait faire un tunnel, mais je n'y connais pas grand-chose.
Le deny 0.0.0.0 interdit l’accès de l'extérieur au serveur, mais au niveau de celui-ci
Dans le sip config nat=yes mais au niveau des poste le nat n'est pas coché.
Les dialplan limitent l'accès à l'international dont j'ai besoin 33 49, quand on est hacké ce sont des coup de fil vers le benin, le togo ......pas gratuit chez OVH

J'ai un modem Netgear DGN2200 plus sur que le précédent. Mais le log me montre tjrs des dos attack


Commnent peux tu affirmer que c'est ton astérisk qui a été hacked?

as tu retrouvé des infos dans les log?

Si il n'est pas accessible via le net me demande par ou ils sont passer !

Message Publié : 13 Jan 2013 21:18
par net_papy
Non je l'ai été, parce je voulais y accéder de l'extérieur sans VPN
-> deux comptes hackés. Maintenant je l'ai protégé.
En regardant le listing des communications sur mon Asterisk, j'ai retrouvé tous les appels passés par celui-ci vers Mali et d'autre pays Africains, l'attaque provenait de mon serveur non des providers. Les appels transitaient par mon Astérisk.

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 12:03
par harrix
Bonjour,
Je remonte la discussion.

Je constate des trucs louches dans mes logs.

Hier
Mon Apr 17 11:12:08 2017, 972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:18:07 2017, +972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:24:10 2017, 0972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:30:14 2017, 00972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:36:18 2017, 900972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:42:19 2017, 000972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:48:17 2017, 810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 11:54:23 2017, 9810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:00:24 2017, 0000972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:06:26 2017, 011972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:12:31 2017, 9011972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:18:33 2017, 0011972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:24:37 2017, 90011972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:30:39 2017, 2810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:36:43 2017, 3810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:42:44 2017, 4810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:48:42 2017, 5810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 12:54:43 2017, 6810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:00:42 2017, 7810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:06:51 2017, 8810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:12:55 2017, 12300972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:18:57 2017, 00810972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:25:00 2017, 91230972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:31:03 2017, 1230972597740359 <-- sip:1004@mon adresse IP : rejected cause=404
Mon Apr 17 13:37:08 2017, 800972597740359 <-- sip:1004@mon adresse IP : rejected cause=404


972597740359 renvoie à 199.48.164.79.

>> frod.subnets.ru/?get=xml&time=1480280400
>> https://www.abuseipdb.com/check/199.48.164.79

Aujourd'hui
Tue Apr 18 11:44:39 2017, 972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 11:53:25 2017, +972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:02:15 2017, 0972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:10:55 2017, 00972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:19:49 2017, 900972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:28:44 2017, 000972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:37:43 2017, 810972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:46:40 2017, 9810972598409344 <-- sip:1001@mon adresse IP : rejected cause=404
Tue Apr 18 12:55:37 2017, 0000972598409344 <-- sip:1001@mon adresse IP : rejected cause=404


Dois-je m'inquiéter ?

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 12:36
par tntuner
As-tu reçu un mail de OVH?

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 12:46
par harrix
Non, pas de mail d'OVH.
Je viens de consulter le manager et pas de notifications.

Ce sont les logs de la bbox2.

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 16:25
par mackguil
Protection de ton compte sip via restriction ip pour commencer.

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 18:54
par harrix
Justement, en page 1, tu écris
Place les 2 premières parties de top ip wan avec 0.0/16 derrière


OK mais avec une IP dynamique, il faudrait renseigner l'information à chaque changement, alors.
Tu as procédé de cette façon ?

J'ai bien vu que quelqu'un donnait une liste mais elle est non exhaustive.

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 19:03
par mackguil
harrix a écrit :Justement, en page 1, tu écris
Place les 2 premières parties de top ip wan avec 0.0/16 derrière


OK mais avec une IP dynamique, il faudrait renseigner l'information à chaque changement, alors.
Tu as procédé de cette façon ?

J'ai bien vu que quelqu'un donnait une liste mais elle est non exhaustive.


Tu dois noter les range ip wan attribuées par ton fai et tu as 6 choix max, si mes souvenirs sont bons.

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 19:10
par harrix
Ok merci je vais faire ça.

Sinon, la syntaxe du log est bizarre non ?
Habituellement, ça se présente

mon numéro de tél --> appel sortant
mon numéro de tél <-- appel entrant

Re: Protéger son sip OVH.

Message Publié : 18 Avr 2017 19:24
par mackguil
harrix a écrit :Ok merci je vais faire ça.

Sinon, la syntaxe du log est bizarre non ?
Habituellement, ça se présente

mon numéro de tél --> appel sortant
mon numéro de tél <-- appel entrant


bbox2 et sip ...

Re: Protéger son sip OVH.

Message Publié : 11 Juin 2017 16:55
par wizz
Je ne comprends toujours pas pourquoi OVH ne peut pas.. enfin ne veut pas modifier le montant plafond avant alerte. Ce dernier est fixé à 150 euros. Il serait tout à fait possible de l'éditer dans le manager. Sûrement parce que le calcul des appels émis est traité en batch pendant la nuit???

Visiblement ce sont des ingénieurs sys qui envoient bouler les clients qui les paient en prétextant toujours la sécu comme premier argument. Dans ce cas là qu'ils génèrent des mots de passe hyper complexes via le manager et ne laissent pas les clients encoder des 8 chiffres et lettres basiques et qu'ils s'occupent de la gestion de l'autoban.

Je trouve qu'ils ne font pas preuve de bonne volonté.

Ca reste un métier la VoIP, entre la sécurité, le bon paramétrage réseau, la qos, et les dial plans.. ;)