[solved]Briker memakai IP PUBLIC sering dapat sip hack

Asterisk
1

halo dulur2 om2 bpk terhormat
Saya mau tanya nih…kenapa ya setiap briker saya kasi ip public selalu dapat panggilan aneh2…
dan terlihat di CDR hampir full…apakah ada cara mengatasinya

salam

2

Briker versi berapa ? apakah Briker versi 2.0 ?

anton

3

ya pak anton saya install yang terbaru …v2

4

kalo bersedia saya bantu cek langsung ke mesin nya, informasi akses (SSH support password dan web administrator password) bisa dikirimkan ke email saya, antonrd@gmail.com

hasil investigasi akan berguna untuk komunitas

anton

5

ok pak…saya kirm sekarang

6

berikut iini cuplikan

  1. 2016-10-23 19:29:29 SIP/122.12… 9338 “9338” <9338> s ANSWERED 00:12
  2. 2016-10-23 19:29:02 SIP/122.12… 4010 “4010” <4010> s ANSWERED 00:00
  3. 2016-10-23 19:28:32 SIP/122.12… 2010 “2010” <2010> s ANSWERED 00:00
  4. 2016-10-23 19:27:31 SIP/122.12… 6667 “6667” <6667> s ANSWERED 00:00
  5. 2016-10-23 19:27:18 SIP/122.12… 3010 “3010” <3010> s ANSWERED 00:00
  6. 2016-10-23 19:26:22 SIP/122.12… 601 “601” <601> s ANSWERED 00:00
  7. 2016-10-23 19:25:34 SIP/122.12… 3010 “3010” <3010> s ANSWERED 00:00
  8. 2016-10-23 19:25:31 SIP/122.12… 3010 “3010” <3010> s ANSWERED 00:00
  9. 2016-10-23 19:25:23 SIP/122.12… 9338 “9338” <9338> s ANSWERED 00:12
  10. 2016-10-23 19:24:39	SIP/122.12...	6667	"6667" <6667>	s	ANSWERED	00:00

  11. 2016-10-23 19:24:35	SIP/122.12...	3010	"3010" <3010>	s	ANSWERED	00:00

  12. 2016-10-23 19:22:30	SIP/122.12...	3010	"3010" <3010>	s	ANSWERED	00:00

  13. 2016-10-23 19:22:17	SIP/122.12...	111	"111" <111>	s	ANSWERED	00:00

  14. 2016-10-23 19:21:47	SIP/122.12...	6667	"6667" <6667>	s	ANSWERED	00:00

  15. 2016-10-23 19:21:39	SIP/122.12...	3010	"3010" <3010>	s	ANSWERED	00:00

  16. 2016-10-23 19:21:16	SIP/122.12...	9338	"9338" <9338>	s	ANSWERED	00:12

  17. 2016-10-23 19:20:17	SIP/122.12...	3010	"3010" <3010>	s	ANSWERED	00:00

  18. 2016-10-23 19:19:58	SIP/122.12...	999	"999" <999>	s	ANSWERED	00:00

  19. 2016-10-23 19:19:41	SIP/122.12...	8204	"8204" <8204>	s	ANSWERED	00:12

  20. 2016-10-23 19:18:58	SIP/122.12...	667	"667" <667>	s	ANSWERED	00:00

  21. 2016-10-23 19:18:48	SIP/122.12...	65889	"65889" <65889>	s	ANSWERED	00:12

  22. 2016-10-23 19:18:36	SIP/122.12...	2010	"2010" <2010>	s	ANSWERED	00:00

  23. 2016-10-23 19:17:56	SIP/122.12...	501	"501" <501>	s	ANSWERED	00:00

  24. 2016-10-23 19:17:13	SIP/122.12...	9338	"9338" <9338>	s	ANSWERED	00:12

  25. 2016-10-23 19:16:44	SIP/122.12...	2010	"2010" <2010>	s	ANSWERED	00:00

1 / 1704 - Next

7

case closed…
by pak anton …kemungkina pak anton sendiri yang bisa menjelaskan
sekali lagi terima kasi pak anton

salam

8

di Briker 2.0 sudah ada fail2ban, kalo ada yang yang coba register sampai 5 kali (brute force) dan salah akan diblok ip yang mencoba register tersebut.

9

iya, tapi gangguan ini bukan dari yang register, ini dari incoming call yang masuk ke from-sip-external

di from-sip-external itu default nya seluruh call di Answer, nah ini yang menyebabkan call tercatat di CDR dan jadi spam, sudah gitu karena default nya IP nya ngga kedeteksi maka ngga masuk fail2ban

td di mesin mas Zaki ini dicoba dg masukkan from-sip-external di extensions override:

[from-sip-external]
exten => _+X.,1,Set(IP=${CHANNEL(peerip)})
exten => _+X.,n,Verbose(Received incoming SIP connection from unknown peer ${IP} to ${EXTEN})
exten => _+X.,n,Set(DID=${IF($["${EXTEN:1:2}"=""]?s:${EXTEN})})
exten => _+X.,n,GotoIf($["${ALLOW_SIP_ANON}"="yes"]?from-trunk,${DID},1)
exten => _+X.,n,Hangup

exten => _X.,1,Set(IP=${CHANNEL(peerip)})
exten => _X.,n,Verbose(Received incoming SIP connection from unknown peer ${IP} to ${EXTEN})
exten => _X.,n,Set(DID=${IF($["${EXTEN:1:2}"=""]?s:${EXTEN})})
exten => _X.,n,GotoIf($["${ALLOW_SIP_ANON}"="yes"]?from-trunk,${DID},1)
exten => _X.,n,Hangup

lalu di /etc/fail2ban/filter.d/asterisk.conf ditambahkan di failregex:

^Received incoming SIP connection from unknown peer <HOST> to*$

juga lakukan perubahan di jail.conf nya agar membaca /var/log/asterisk/full, ini berarti full log di aktifkan dari logger.conf

@asoka tolong dicoba ya, dibuatkan patch nya, thanks

anton

10

ok noted pak @anton dimasukkan ke list patch

11

pak anton, … kayaknya keejadian seupa yang di alami mas zaki terjadi jg sama saya, baru semalem saya cobain kasih ip public, log CDR nya udah banyak, seperti apa kata pak anton, kyk nya cenderung spam, karena nomor extensi yg ada di log tdk ada di database saya. mungkin saya tunggu juga patch nya :slight_smile:

12

pak, @anton : bukannya ada opsi disable sip anonymous ya?

13

disable itu akan membuat incoming call masuk context from-sip-external, spt penjelasan saya sblm nya

enable itu akan membuat incoming call masuk context from-trunk, jadi di handle as if semua call sudah di define trunk nya

anton

14

Sepertinya saya mengalami hal yang sama, begitu pasang ip public CDR langsung banyak log nya.

Dear Pak Anton,

untuk menyisipkan di from-sip-external. lokasi filenya ada dimana kah ?

Terima kasih sebelumnya

15

Untuk Briker 2.0 diupgrade aja dg firmware terbaru, search caranya disini

Anton