<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Also add<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>alwaysauthreject=yes<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>allowguest=no<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>in your sip.conf file under [general]<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Fail2ban updates your iptables based on the ipaddresses of stuff trying to access your sip port without success.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Scott<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'> app_rpt-users-bounces@ohnosec.org [mailto:app_rpt-users-bounces@ohnosec.org] <b>On Behalf Of </b>Robert Newberry<br><b>Sent:</b> Friday, June 27, 2014 3:10 PM<br><b>To:</b> n0pco@darnsimple.net; app_rpt-users@ohnosec.org<br><b>Subject:</b> Re: [App_rpt-users] CLI help<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>OK thru some googling and reading help files I've blocked the IP address. I then used iptables -L to verify I did it. I will monitor the CLI and see if the see if the attempts keep coming.<br><br>Thank you<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Fri, Jun 27, 2014 at 3:02 PM, Robert Newberry <<a href="mailto:N1XBM@amsat.org" target="_blank">N1XBM@amsat.org</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><p class=MsoNormal>I also googled the IP and I'm coming up with India...slightly confused on that.<o:p></o:p></p></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Fri, Jun 27, 2014 at 2:57 PM, Robert Newberry <<a href="mailto:N1XBM@amsat.org" target="_blank">N1XBM@amsat.org</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><p class=MsoNormal>OK so I found the offending IP address out of South Brisdane, Queensland. They are just going thru 4 digit extensions one by one, they file is quite large. What should I do next? Block the IP and report it?<o:p></o:p></p></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Fri, Jun 27, 2014 at 2:00 PM, DARN SIMPLE | N0PCO <<a href="mailto:n0pco@darnsimple.net" target="_blank">n0pco@darnsimple.net</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><p class=MsoNormal>As most would say "you're dealing with script kiddies"  people that are trying to find a free route for the calls among other mischievous things.<br><br>-----------------<br><br>Check the file /var/log/asterisk/messages for some helpful clues where the attempts are coming from.<br><br>Look for SECURITY[numbercode]   there should be some ip addresses on the same line.<br><br>You can find out more about the ip address and the subnet involved by going to: <a href="http://mxtoolbox.com/arin.aspx" target="_blank">http://mxtoolbox.com/arin.aspx</a> and enter the ip address.<br><br>Do you know how to set up the iptable rules?<br><br>------------------<br><br><br>It's more of a nuisance than anything else.    Still a good idea to learn how to use iptables, it will make things easier in the long run.<br><br><br>Mars<o:p></o:p></p><div><div><p class=MsoNormal><br><br><br><br><br><br><br>On 06/27/2014 11:59 AM, Robert Newberry wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><p class=MsoNormal style='margin-bottom:12.0pt'>Can anyone tell me what this means in my CLI?<br><br><br>[Jun 27 12:47:44] NOTICE[2177]: chan_sip.c:14418 handle_request_invite:<br>Call from '' to extension '+901148422885410' rejected because extension not<br>found.<br>[Jun 27 12:48:04] WARNING[2177]: chan_sip.c:1964 retrans_pkt: Maximum<br>retries exceeded on transmission 768cac067094ca767d045f9ac57d60d3 for seqno<br>1 (Critical Response) -- See doc/sip-retransmit.txt.<br>N1XBM*CLI><br><br>So I do have to extensions setup one is my tablet (which is off) I also<br>have my cell phone (which I have in airplane mode). Is someone trying to<br>hack my server?<br><br>Thank you<br><br><o:p></o:p></p></blockquote><p class=MsoNormal><o:p> </o:p></p></div></div></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div></div></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div></div></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>