forum.opennet.ru - "5199362832664" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"5199362832664"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"5199362832664"
Сообщение от Аноним (??) on 23-Авг-08, 20:14
Добрый вечер, Проблема: некто неизвестный пытается через мою голосовую Cisco AS5350XM позвонить, указывая в качестве пары логин/пароль 5199362832664/5199362832664. Это продолжается уже второй день подряд и все логи radius'a засраны такими сообщениями: Sat Aug 23 18:57:43 2008 : Auth: Login incorrect (No password configured for the user): [5199362832664/5199362832664] (from client dial0 port 0) Sat Aug 23 18:57:43 2008 : Auth: Login incorrect: [5199362832664/5199362832664] (from client dial0 port 0) Поискав в инете нашел, что это за номер, какой-то троян пытается позвонить через нас. Я, к сожалению, не являюсь специалистом именно в области голосовых кисок, Вопросы: 1. какой именно комбинацией debug'ов можно воспользоваться, для того, чтобы вычислить IP с которого приходит этот запрос. (дальше уже понятно, пойдет access-list с блокированием всей с которой идут эти попытки /24). 2. как именно можно заблокировать такие попытки на кошке, при неизвестном IP? пробовал так, но не получилось: voice translation-rule 120 rule 1 reject /^5199362832664/ ! ! voice translation-profile block-bad-callee translate calling 120 translate called 120 ! dial-peer voice 1 pots translation-profile incoming block-bad-callee translation-profile outgoing block-bad-callee destination-pattern 8T progress_ind alert enable 8 translate-outgoing calling 10 no digit-strip port 3/3:D В логах радиуса по прежнему видны такие попытки. Что еще можно сделать? IOS 12.4(5a). спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

5199362832664, Аноним, 11:39 , 24-Авг-08, (1)

вообще-то, Евгений, 01:51 , 26-Авг-08, (2)

вообще-то, karoll, 16:20 , 28-Авг-08, (3)

вообще-то, Telesis, 09:27 , 29-Авг-08, (4)

вообще-то, Брахио, 16:25 , 02-Сен-08, (5)

вообще-то, Брахио, 16:31 , 02-Сен-08, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "5199362832664"

Сообщение от Аноним (??) on 24-Авг-08, 11:39

>[оверквотинг удален]
> destination-pattern 8T
> progress_ind alert enable 8
> translate-outgoing calling 10
> no digit-strip
> port 3/3:D
>
>В логах радиуса по прежнему видны такие попытки.
>Что еще можно сделать?
>IOS 12.4(5a).
>спасибо.
Вобщем, по сложившейся традиции отвечаю самому себе:
sh ip sockets
ip access-list extended STOP_HACK
deny ip host aaa.bbb.ccc.ddd any
permit ip any any
interface GigabitEthernet0/0
ip access-group STOP_HACK in
Наверняка должен быть более прямой способ блокировки, не по IP, а по логину, с которым пытаются продолбиться, но я пока его не знаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "вообще-то"

Сообщение от Евгений (??) on 26-Авг-08, 01:51

В нормальной сети медиа-шлюзы наружу с белыми Ip , открытые для всех, не торчат.

>[оверквотинг удален]
>ip access-list extended STOP_HACK
> deny ip host aaa.bbb.ccc.ddd any
> permit ip any any
>
>interface GigabitEthernet0/0
> ip access-group STOP_HACK in
>
>Наверняка должен быть более прямой способ блокировки, не по IP, а по
>логину, с которым пытаются продолбиться, но я пока его не знаю.
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "вообще-то"

Сообщение от karoll on 28-Авг-08, 16:20

Обнаружил подобные звонки в биллинге. Откуда шли звонки пока обнаружить не могу. С внешних адресов доступ на железку(АС5300) закрыт. За 1 час было совершено более 3 сотен звонков. Ни одного удачного(тьфу-тьфу).
Если у каго какие соображения - напишите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "вообще-то"

Сообщение от Telesis on 29-Авг-08, 09:27

тоже наблюдал такую вешь, с сети Cogent.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "вообще-то"

Сообщение от Брахио (??) on 02-Сен-08, 16:25

Звонки пытаются инициировать с адресов, которые зарегистрированы в Малайзии у провайдера Piradius.net
Достоверно известно 2 адреса:
124.217.250.91
124.217.230.238
Соединение с маршрутизатором идут по порту 5060. Отловить можно только либо по логам если в ACL включить журналирование соединений извне на данный порт, либо по нетфлоу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "вообще-то"

Сообщение от Брахио (??) on 02-Сен-08, 16:31

Как прекратить:
Закрыть порты 5060 и 1720 на соединения извне. Если надо работать с удаленными шлюзами IP телефонии (а эти порты как раз и отвечают за соединения с SIP устройствами и соединения по протоколу H.323), то открывать только на доверенные адреса. А все остальные - "в сад".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "5199362832664"
Сообщение от Аноним (??) on 24-Авг-08, 11:39
>[оверквотинг удален] > destination-pattern 8T > progress_ind alert enable 8 > translate-outgoing calling 10 > no digit-strip > port 3/3:D > >В логах радиуса по прежнему видны такие попытки. >Что еще можно сделать? >IOS 12.4(5a). >спасибо. Вобщем, по сложившейся традиции отвечаю самому себе: sh ip sockets ip access-list extended STOP_HACK deny ip host aaa.bbb.ccc.ddd any permit ip any any interface GigabitEthernet0/0 ip access-group STOP_HACK in Наверняка должен быть более прямой способ блокировки, не по IP, а по логину, с которым пытаются продолбиться, но я пока его не знаю.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "вообще-то"
	Сообщение от Евгений (??) on 26-Авг-08, 01:51
	В нормальной сети медиа-шлюзы наружу с белыми Ip , открытые для всех, не торчат. >[оверквотинг удален] >ip access-list extended STOP_HACK > deny ip host aaa.bbb.ccc.ddd any > permit ip any any > >interface GigabitEthernet0/0 > ip access-group STOP_HACK in > >Наверняка должен быть более прямой способ блокировки, не по IP, а по >логину, с которым пытаются продолбиться, но я пока его не знаю. >
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "вообще-то"
	Сообщение от karoll on 28-Авг-08, 16:20
	Обнаружил подобные звонки в биллинге. Откуда шли звонки пока обнаружить не могу. С внешних адресов доступ на железку(АС5300) закрыт. За 1 час было совершено более 3 сотен звонков. Ни одного удачного(тьфу-тьфу). Если у каго какие соображения - напишите.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "вообще-то"
	Сообщение от Telesis on 29-Авг-08, 09:27
	тоже наблюдал такую вешь, с сети Cogent.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "вообще-то"
	Сообщение от Брахио (??) on 02-Сен-08, 16:25
	Звонки пытаются инициировать с адресов, которые зарегистрированы в Малайзии у провайдера Piradius.net Достоверно известно 2 адреса: 124.217.250.91 124.217.230.238 Соединение с маршрутизатором идут по порту 5060. Отловить можно только либо по логам если в ACL включить журналирование соединений извне на данный порт, либо по нетфлоу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "вообще-то"
	Сообщение от Брахио (??) on 02-Сен-08, 16:31
	Как прекратить: Закрыть порты 5060 и 1720 на соединения извне. Если надо работать с удаленными шлюзами IP телефонии (а эти порты как раз и отвечают за соединения с SIP устройствами и соединения по протоколу H.323), то открывать только на доверенные адреса. А все остальные - "в сад".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]