By mac 前編 被害の実態 解析手法 - awkで統計処理 なぜAsteriskは狙われるのか? 再発防止策 後編 弁護士との相談 – 100万円以下の損害は… 警察への届け出 NTT-Eとの交渉 不正アクセスしたIPと回数 回数 IP Address 28417 50.97.230.2 16922 195.154.243.37 12800 203.235.34.85 7639 124.137.10.221 1681 119.81.69.142 37 85.25.201.241 23 37.8.41.86 11 82.205.11.147 3 62.114.75.238 3 31.223.191.5 2 188.161.13.94 1 37.8.69.80 1 37.8.51.214 組織名 Hadara Technologies 国名 us fr kr kr cn de ps ps African Internet Numbers Registry Mauritius citynet service ps ps ps ps SoftLayer Technologies Inc. Iliad Entreprises Customers Korea Network Information Cente SK Networks co., Ltd Serverology LLC intergenia AG Hadara Gaza BSA Palestine Telecommunications Company Hadara Gaza BSA 2nd subnet Hadara Gaza BSA 37 23 1681 不正アクセス 3 11 3 7639 1 2 1 28417 12800 16922 50.97.230.2 195.154.243.37 203.235.34.85 124.137.10.221 119.81.69.142 85.25.201.241 37.8.41.86 82.205.11.147 62.114.75.238 31.223.191.5 188.161.13.94 37.8.69.80 37.8.51.214 最初に攻撃があった日時 月 日 時刻(GMT) Port IP [Feb 13 18:07:21] '"18419424"<sip:[email protected]>' '124.137.10.221' No matching peer found [Feb 14 19:30:01] '"29413987"<sip:[email protected]>' '195.154.243.37' No matching peer found [Feb 14 20:46:46] '<sip:[email protected]>' '37.8.41.86' Wrong password [Feb 14 21:17:16] '79.108.192.54<sip:[email protected]>' '31.223.191.5' Wrong password [Feb 15 03:56:42] '<sip:[email protected]>' '82.205.11.147' No matching peer found [Feb 15 21:48:18] '<sip:[email protected]>' '37.8.51.214' No matching peer found [Feb 16 00:15:28] '"1961358347"<sip:[email protected]>' '119.81.69.142' No matching peer found [Feb 16 06:36:00] '<sip:[email protected]>' '62.114.75.238' Wrong password [Feb 16 08:54:00] '"1011088972"<sip:[email protected]>' '50.97.230.2' No matching peer found [Feb 16 17:55:44] '"440530775"<sip:[email protected]>' '203.235.34.85' No matching peer found [Feb 16 22:56:48] '<sip:[email protected]>' '188.161.13.94' No matching peer found [Feb 17 00:16:41] '"3406295859"<sip:[email protected]>' '85.25.201.241' No matching peer found [Feb 17 08:15:02] '<sip:[email protected]>' '37.8.69.80' No matching peer found [Feb 18 22:48:11] 'Hawk.811<sip:[email protected]>' '31.223.189.40' No matching peer found [Feb 18 22:49:33] '"1022526037"<sip:[email protected]>' '94.75.229.227' No matching peer found [Feb 18 23:31:32] '"1309162037"<sip:[email protected]>' '173.224.126.196' No matching peer found [Feb 19 06:45:34] '<sip:[email protected]>' '37.8.51.149' No matching peer found [Feb 19 06:51:10] 'Hawk.811<sip:[email protected]>' '31.223.186.211' No matching peer found [Feb 19 07:01:44] 'Hawk.811<sip:[email protected]>' '31.223.188.214' No matching peer found [Feb 19 20:02:33] '<sip:[email protected]>' '31.223.188.175:10040' Wrong password [Feb 20 10:29:34] 'tomcic<sip:[email protected]>' '31.223.183.78:18377' Wrong password 不正に掛けられた国際電話 日付 時刻(GMT) 電話番号 不正に掛けられた番号と回数 秒数 2014/2/14 11:53 0106703302473 20 2014/2/14 11:57 01037744046011 20 2014/2/14 11:59 01037127698000 20 2014/2/14 12:18 01037127698001 303 2014/2/14 12:23 01037127698004 834 回数 電話番号 142 01037127698004 46 01037178519280 2014/2/14 12:37 01037127698004 804 2014/2/14 12:50 01037127698001 963 2014/2/14 13:06 01037127698001 1379 41 01037127912101 25 01037178912974 9 01037127698005 9 6 7 3 1197 2014/2/14 13:50 01037127698001 2272 2014/2/14 14:28 01037127698004 1099 2014/2/14 14:46 01037127698001 1080 2014/2/14 15:04 01037127698004 1008 2014/2/14 15:21 01037127698004 66 2014/2/14 15:24 01037127698004 1087 2014/2/14 15:43 01037127698004 927 5 1 1 1 1 1 1 11 1 1 25 7 01037127912103 2014/2/14 13:30 01037127698004 電話番号と回数 2 142 41 46 6 01037178519281 5 01037127698001 3 01037178519288 776 2014/2/14 16:12 01037127698004 722 2014/2/14 16:24 01037127698004 905 2014/2/14 16:39 01037127698004 758 2014/2/14 16:52 01037127698004 1390 2014/2/14 17:15 01037127698004 2228 2014/2/14 17:52 01037127698004 1545 2014/2/14 18:18 01037127698004 1349 2014/2/14 18:41 01037127698004 1070 2014/2/14 18:59 01037127698004 1307 2014/2/14 19:21 01037127698004 1340 01037178519280 01037127912101 01037178912974 01037127698005 01037127912103 01037178519281 01037127698001 01037178519288 01037178916300 0106703302473 01037744046011 01037190309801 01037178916366 01037178519290 01037178519282 01037162000640 01037127698000 0102437701854 0102431330144 1 0106703302473 1 01037744046011 2014/2/14 15:59 01037127698004 01037127698004 2 01037178916300 1 01037190309801 1 01037178916366 1 01037178519290 1 01037178519282 1 01037162000640 1 01037127698000 1 0102437701854 1 0102431330144 通話料金明細内訳書 【NTT東日本ご利用分】 * ひかり電話(通話料)合計160円 * ひかり電話(海外への通話料)合計407,641円 【NTT東日本ご利用分】 * ひかり電話(通話料)合計56円 * ひかり電話(海外への通話料)合計90,810円 国際電話を抜き出す cat Master.csv | awk -F, ' $9 ~ /SIP¥/010/ && $15 ~ /ANSWERED/ { print $11 "," $9 "," $14; }' | sed 's/"SIP¥/¥([0-9][0-9]*¥)@rt200ne|60|T"/¥1/' 番号別発信回数 cat Master.csv | awk -F, ' $9 ~ /SIP¥/010/ && $15 ~ /ANSWERED/ { cnt[$6]++; } END { for (i in cnt) { print cnt[i], i; } }' | sort -nr usernameに3~4桁の数字を使う傾向 内線番号=userである必要はないが、そうしなけれ ばダメなIP電話機もある passwordも数字だけ(全く必要性なし) make samplesで生成されるお手本がダメすぎ 63個の設定ファイルが生成される 接続に必要なのはそのうち2個 後で実例を示します Patchが本流にmergeされない いつまでたってもソースからコンパイル (RT200NE) 独自の日付形式 → fail2banを使うにもpatch Asteriskの設定 アクセス権を徹底して絞る LAN内で出来るだけIPを固定する(dhcpd) passwdがあっている通話は「異常」として扱われな い(LogにIPが記録されない) Serverにはntpdを立てる 時刻は極めて重要な証拠。秒単位で合わせておく。 ルーターの設定は手を抜かない DMZの甘い罠 - 絶対設定してはいけない UPnP – Crackerにオールを渡すな iptablesで築く城壁 難解だけど頑張る 大学や企業の複雑な構成から学び始めない シンプルに手堅く どんなに零細なサイトでもクラッカーは狙っている サイトの規模には関係ない ポートスキャンと総当り法プログラムでクラック 必要のないポートは開けない iptablesでしっかり固める DMZ, UPnP, DHCPなど「楽な設定」に気をつける 次回は社会的側面での後始末
© Copyright 2024 ExpyDoc