หน้า 2 จากทั้งหมด 2

Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk

โพสต์โพสต์แล้ว: 10 ธ.ค. 2010 09:50
โดย nuiz
ยังไม่เคยลองนะครับ
ลองดูตรง dest อ่ะครับ ลองใส่ , แล้วเพิ่มอีกหลายๆอีเมล์
ถ้าไม่เวอร์คก็แนะนำให้ใช้ alias อ่ะครับ ที่ว่าเราสร้าง email ปลอมๆขึ้นมาอันนึง ถ้าส่งไปที่อีเมล์นี้ก็ให้ mail server ส่งไปหลายๆอีเมล์ที่เราใส่ไว้

ไม่รู้ว่าเคยใช้หรือเปล่า ลองค้นใน google ดูครับ

Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk

โพสต์โพสต์แล้ว: 12 ธ.ค. 2010 20:40
โดย smartsoft
มา update เพิ่มครับ
ถ้าต้องการ ให้ fail2ban ทำการ alert ไปยัง e-mail มากกว่า 1 account
ให้กำหนดดังนี้ครับ
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=user1@domain.com user2@domain.com user3@domain.com, sender=sip-attacks@domain.com]
logpath = /var/log/asterisk/full
maxretry = 5
findtime = 60
bantime = 259200


ส่วนเรื่องการ unblock ip นั้น
หากเราทำการ สั่ง service iptables restart นั้ัน มันจะทำการ unblock ip ออกทั้งหมด รวมไปถึง rule ของ fail2ban ไปด้วย
ดังนั้น หากใช้คำสั่ง service iptables restart เราจะต้องสั่ง service fail2ban restart ด้วยทุกครั้ง เพื่อเพิ่ม rule ของ fial2ban เข้าไปยัง iptables

หากคุณไม่ต้องการ มันนั่ง restart service ทั้ง 2 ตัวนี้ แต่ต้องการ unblock ip ออก แค่ ip เดียวหล่ะ
ก็ให้ใช้คำสั่งนี้ครับ
# iptables -D fail2ban-<name> -s <ip> -j DROP ครับ

ซึ่งจะทำให้เราไม่ต้องทำการ restart service fail2ban แล้ว ip ที่โดน block อื่นๆ ก็ยังคงอยู่
จะเป็นการ unblock เฉพาะ ip เท่านั้นครับ

<name> คือ ชื่อ rule ที่เรากำหนดครับ
<ip> คือ ip address ครับ

example : # iptables -D fail2ban-ASTERISK -s 192.168.33.45 -j DROP

จากตัวอย่างเป็นการ unblock ip 192.168.33.45 ออก จาก rule fail2ban-ASTERISK ออก ครับ

Re: ใช้ Fail2Ban จับตายพวกชอบโจมตีหรือเดา Account ใน Asterisk

โพสต์โพสต์แล้ว: 17 พ.ค. 2011 22:47
โดย nuiz
อัพเดท..

ผมเพิ่ม rule นี้เข้าไปในไฟล์ /etc/fail2ban/filter.d/asterisk.conf ครับ
โค้ด: เลือกทั้งหมด
NOTICE.*: Registration from '*.*' failed for '<HOST>' - Peer is not supposed to register

เพราะว่าเจอแบบนี้ในไฟล์ /var/log/asterisk/full

[2011-05-17 22:38:51] ERROR[3045] chan_sip.c: Peer 'Snow' is trying to register, but not configured as host=dynamic
[2011-05-17 22:38:51] NOTICE[3045] chan_sip.c: Registration from '"snow" <sip:snow@109.124.68.107>' failed for '80.243.190.98' - Peer is not supposed to register

เพิ่งสังเกตุเห็นหน่ะครับ ไอพี 80.243.190.98 นี้ส่ง message register มาถี่มากแบบว่าวินาทีนึงเป็นหลายสิบข้อความเลย และส่งมาทุกวินาที (สงสัยใช้สคริปต์ส่ง) จน log file ใหญ่เบ้อเริ่มเทิ่ม