今朝ほどIP電話で電話していたところ、通話が途中で切れたりする事象があったので調べてみました。
サーバを仮想化してるから負荷が増えているのか等いろいろ考えたところ、意外な事実が見えました。
以下、ルータのログをみると、
2009/09/19 12:03:07: PP[01] Rejected at IN(default) filter: UDP 173.45.111.102:5371 > xx.xx.xx.xx:5060 2009/09/19 12:03:08: PP[01] Rejected at IN(default) filter: UDP 173.45.111.100:5371 >xx.xx.xx.xx:5060 2009/09/19 12:03:09: PP[01] Rejected at IN(default) filter: UDP 173.45.111.102:5371 > xx.xx.xx.xx:5060 2009/09/19 12:03:10: same message repeated 6 times :
と、当方のSIPサーバへのアクセスが短時間で複数あり、DoS攻撃を受けていました。
うーん、これをみたときに「しまった!」と思いました。理由はサーバ内にあるAsteriskからはOCN.PhoneへのアクセスのためSIPでやりとりするポートを開放していたためです。
今思えば、OCNのVoIPサーバとやりとりするだけですから、他から受け付けないようここでフィルタリングをしっかりすべきでした。
当方が使用しているサーバは、voip-ca34xx.ocn.ne.jp(210.227.109.128/25) といった類のVoIPサーバですから、これと通信ができるようにして、ルータにフィルタをかけます。
ip filter XX pass 210.227.109.128/25 x.x.x.x tcp * 5060
取り急ぎ不正なアクセスはなくなり、これでDoSは防げました。
あとは実際の被害ですが、2009/9/18~9/19 の間にかけて、不正にRegistを試みた形跡がありました。勝手にRsistされないよう、先月頃前もってAsteriskのsip.confには allowguest=no を入れていますが、肝心なAsteriskの再起動を忘れていたらしく、どうやら不正に発信されていた様子です。
[/var/log/asterisk/cdrMaster.csv] ","67661801957","01053XXXXXXXX","default","67661801957","SIP/5371-297ca000","SIP/ntttel-2 97d0000","Congestion","","2009-09-19 01:11:13",,"2009-09-19 01:11:14",1,0,"FAILED","DOCUME NTATION","1253322673.17050","" "","4393578165","01053XXXXXXXX","default","4393578165","SIP/5371-29775000","SIP/ntttel-297 bf000","Congestion","","2009-09-19 01:11:14",,"2009-09-19 01:11:14",0,0,"FAILED","DOCUMENT ATION","1253322674.17052","" "","38957217495","01053XXXXXXXX","default","38957217495","SIP/5371-29775000","SIP/ntttel-2 97bf000","Congestion","","2009-09-19 01:11:15",,"2009-09-19 01:11:15",0,0,"FAILED","DOCUME NTATION","1253322675.17054","" "","74227958030","01053XXXXXXXX","default","74227958030","SIP/5371-29775000","SIP/ntttel-2 97bf000","Congestion","","2009-09-19 01:11:15",,"2009-09-19 01:11:15",0,0,"FAILED","DOCUME NTATION","1253322675.17056","" :
幸いFAILEDだったのでよかったですが、一体何をしたいんだろう…。
迷惑この上ない。。。
しかもちゃんと国際電話発信の010で相手先を呼んでいます。
(通話先はキューバ)
あとはANSWEREDの表示がれば、相手先が出ており課金の可能性もあります。(ないことを祈る!!!)
ちなみに接続元はここ。
> whois 173.45.111.101 eNET Inc. ENET-XLHOST-2 (NET-173-45-64-0-1) 173.45.64.0 - 173.45.127.255 XLHost.com Inc XLHOST-CFREENE3-6770 (NET-173-45-111-96-1) 173.45.111.96 - 173.45.111.103 # ARIN WHOIS database, last updated 2009-09-18 20:00 # Enter ? for additional hints on searching ARIN's WHOIS database.
おそらくはBotNetかな。。。うーん、お粗末!