Hi Skeeve,<div><br></div><div>I'm getting a ton of these on my asterisk server at home  Most commonly they are trying extension numbers 1-9999 although occasionally they are using dictionary based or more rarely random [a-z] character scans.  Typically a single IP will conduct the entire number range scan which should make it easier to set up filtering based on triggers.  Having a good password policy on the accounts would also help.</div>
<div><br></div><div>So far this month I have logged 760493 failed SIP logins from 63 IPs.</div><div><div><br></div><div>Cheers,</div><div><br>Rob</div><div><br></div><br><div class="gmail_quote">On Tue, Sep 28, 2010 at 12:13 AM, Skeeve Stevens <span dir="ltr"><<a href="mailto:Skeeve@eintellego.net">Skeeve@eintellego.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">








<div lang="EN-AU" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="color:#002060">Hey all,</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">I’ve got a few customers
who have noticed a large recent jump in SIP scans against their networks.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">Null routing helps the response
but doesn’t stop the registration initiation – loading up servers
with registrations.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">This is easy to stop on closed
VoIP systems, but not on hosted Voice platforms which users come from other ISP’s/networks,
this seems to be very difficult.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">Does anyone have any ideas –
we are fresh out at the moment, apart from beefing up security on the VoIP
servers themselves using fail2ban or other things that detect rapid
registrations and then firewalls them.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">Having a normal server hacked is
one thing but VoIP hacking has taken on a new intensity as the hackers can make
a LARGE amount of money by comprising a VoIP system.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">Recently, we’ve been
brought in to clean up the mess in several incidents where a couple of VoIP
systems have been compromised in incidents totalling over AU$100,000.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">And the carriers are rarely
sympathetic.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">If it isn’t obvious as to
how/why they’re doing this – the hackers get in, open a SIP account
so their VoIP system can register, and then they channel certain calls via the
comprised system.  This has the effect of them charging the end user and
making money, while not paying for the calls to be delivered to the
destination.</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#002060">Advice:</span></p>

<p><span style="color:#002060"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="color:#002060">Block destinations
to obscure places that your customers are unlikely to call, and only unblock them
if they request</span></p>

<p><span style="color:#002060"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="color:#002060">Watch billing to
certain locations and if there is a massive jump, do something</span></p>

<p><span style="color:#002060"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><span style="color:#002060">Watch your customers
and if their billing jumps by a massive amount, alert them as fast as you can –
or you just might be liable</span></p>

<p class="MsoNormal"><span style="font-size:12.0pt;color:#002060"> </span></p>

<p class="MsoNormal"><span style="color:#1F497D">...Skeeve</span></p>

<p class="MsoNormal"><span style="font-size:12.0pt;color:#002060"> </span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">--</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">Skeeve Stevens,
CEO</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">eintellego Pty
Ltd - The Networking Specialists</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060"><a href="mailto:skeeve@eintellego.net" target="_blank">skeeve@eintellego.net</a>
/ <a href="http://www.eintellego.net" target="_blank">www.eintellego.net</a></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">Phone: 1300 753
383, Fax: (+612) 8572 9954</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">Cell +61 (0)414
753 383 / skype://skeeve</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060"><a href="http://www.linkedin.com/in/skeeve" target="_blank">www.linkedin.com/in/skeeve</a>
; <a href="http://facebook.com/eintellego" target="_blank">facebook.com/eintellego</a></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">--</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">eintellego -
The Experts that the Experts call</span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;color:#002060">- Juniper - HP
Networking - Cisco - Arista -</span></p>

<p class="MsoNormal"><span style="color:#002060"> </span></p>

<p class="MsoNormal"><span style="font-size:8.0pt;color:#002060">Disclaimer:
Limits of Liability and Disclaimer: This message is for the named person's use
only. It may contain sensitive and private proprietary or legally privileged
information. You must not, directly or indirectly, use, disclose, distribute,
print, or copy any part of this message if you are not the intended recipient.
eintellego Pty Ltd and each legal entity in the Tefilah Pty Ltd group of
companies reserve the right to monitor all e-mail communications through its networks. 
Any views expressed in this message are those of the individual sender, except
where the message states otherwise and the sender is authorised to state them
to be the views of any such entity. Any reference to costs, fee quotations,
contractual transactions and variations to contract terms is subject to
separate confirmation in writing signed by an authorised representative of
eintellego. Whilst all efforts are made to safeguard inbound and outbound
e-mails, we cannot guarantee that attachments are virus-free or compatible with
your systems and do not accept any liability in respect of viruses or computer
problems experienced.</span></p>

<p class="MsoNormal"> </p>

</div>

</div>


<br>_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
<br></blockquote></div><br></div>