[Eisfair_dev] [e1] bfb 0.7.9 und asterisk

[Olaf Jaehrling]

Hallo Stefan,

Stefan Welte schrieb am 29.02.2016 um 17:13:
> Hallo beisammen,
> 

> 
> Bruteforceblocking 0.7.9 ist installiert und konfiguriert:
>> BFB_MONITOR_ASTERISK='yes'        # monitor Asterisk logfile?
>> BFB_ASTERISK_ATTEMPT_NUMBER='4'   # Numbers of failed logins
> allerdings bei Asterisk:
>> ASTERISK_LOG_INTO_FILE='no'
> 
> Wird ASTERISK_LOG_INTO_FILE='yes' benötigt, damit bfb seine Arbeit tut bzgl. Asterik?
> Obiges scheint mir kein Login-Hack zu sein, eher ein spontaner Rufaufbauversuch, der zum Glück scheitert.

Oha, ist das lange her als ich diese Funktion eingebaut habe. Damals war
es noch Asterisk 1.4. Da war bekannt, dass der leicht zu hacken war aber
das glücklicherweise in die logfiles schreib. BFB hat dieses Logfile
danach durchsucht und dann geblockt. Da ich des * nicht mehr verwende
bin ich auch mithilfe, vllt. von Dir, angewiesen. Kannst du mir folgende
Fragen beantworten?
1. in welchem Logfile waren die Einträge zu sehen?
2. wie gehen die "böse"-Einträge aus?
3. Wie sehen die "guten" Einträge aus?
4. kannst du mir per PM mal ein Logfile mit solchen Angriffen, also
vermutlich das von gestern, zukommen lassen?

Ich würde dann diese Meldungen mit einbauen in BFB

Dein Logauszug scheint ein Call zu sein, indem versucht wird von der IP
188.138.41.24 aus über deinen * in die Schweiz zu telefonieren.

Wenn ich das weiterverfolge hattest Du nur Glück, weildu kein fallover
konfiguriert hast. Also im context default gibt es keinen Eintrag für
diesen subscriber; also wird das abgelehnt. Mich macht nur die Meldung
"Peer '9879703' is now UNREACHABLE!" stutzig. Nicht dass das der bug ist
und der Call doch rausgegangen ist, aber dein Provider abgelehnt hat.
Dazu kenne ich aber deine speziellen Hintergründe nicht. Das würde ich
auch ungern hier in der NG besprechen.

Danke und Gruß

Olaf

> 
> Danke,
> Stefan
>