Wir hatten letzte Nacht einen Angriff auf unsere Starface.
Es waren 2 identische Brute-Force-Attacken á 13.000 Angriffe. Das ganze hat rund 18 min gedauert. Für jeden Angriff findet sich eine folgendermaßen aussende Zeile im Log:
ZitatNOTICE[2896] chan_sip.c: Registration from '"9974"<sip:9974@xxx.yyy.zzz.vvv>' failed for 'aaa.bbb.ccc.ddd' - No matching peer found
Die IP-Adresse des Angreifers stammt von einem Web-Hoster in Holland.
Etwas ähnliches ist auch hier beschrieben:
http://idefix.net/~koos/irregu…ack-on-an-asterisk-server
Allerdings war es in diesem Bericht 'Username/auth name mismatch'. Bei uns war es 'No matching peer found'.
Da tun sich Fragen auf:
- Kommt so etwas häufig vor?
- Wie kommt einer auf unseren Starface Server-Namen, der sehr kryptisch ist?
- Oder: Wie kommt einer an unsere IP-Adresse, die dynamisch ist; allerdings schon quasi-statisch, solange der Router nicht abgeschaltet ist.
Was kann man am besten tun, um sich zu wehren? Wir nutzen die Starface nur intern, keiner braucht sich von außen anzumelden. Wir haben DynDns konfiguriert. Die Frage wäre, ob wir das überhaupt brauchen? Ohne den DynDns-Namen müsste es sicherer sein.
Die Kernfrage bleibt, wie einer an unseren Server-Namen oder die IP Adresse kommt.