Hola, necesito de vuestra ayuda, hoy me han atacado a mi PBX y me gustaría saber como han conseguido la clave de algunos números que están dados de alta en mi PBX. Este ataque me ha producido llamadas internacionales que es otra cosa que no se como lo ha podido realizar, dado que tengo reglas de salida para que todas las llamadas empiecen o por 9,6,7,u 8 eliminado todos los números de tarificacion especial....

Mediante el reporte de CDR he visto la hora y la extensión pero me gustaría saber ip, y si ha sido por fuerza bruta o por algun fallo de seguidad...

Espero me puedan ayudar.

Gracias

se me olvidaba todas las contraseñas de mis terminales tienen un minimo de 2 digitos dos letras min, dos letras mayusculas. ¿como han podido sacar una contraseña compela?

Posiblemente sea por que tienes todos los para pametros por defecto y tambien tienes el fail2ban deshabilitado, te recomiendo usar el manual https://jroliva.net/2017/06/26/asegurando-issabel-pbx-la-receta/ para asegurar la PBX

revisa los logs porque si te han emitido llamadas internacionales y lo tienes en tus rutas salientes como no autorizado es porque han entrado a la pbx y cambiado las rutas salientes
basicamente si han entrado como admin a la web y modificado eso da igual que tengas 20 letras en las claves.

te recomiendo cambiar absolutamente todas las claves pero previamente revisa donde esta el fallo

como te dice Blindzord revisa la seguridad

Los ultimo ataque que he tenido en centralitas de pruebas han sido el puerto 443 es decir la web. Mediante inserción de código en la URL crean rutas y llamadas automáticas.
Por cierto, esto lo para fail2ban.

tendrias algun ejemplo ? para verificar que no sea una vulnerabilidad y testearlo

Pues en este momento no, pero recuerdo que graban un fichero en /var/www/html/_asterisk y crean un comando en cron que genera llamadas a 4 números internacionales cada minuto.
Esto fue hace ya 6 meses y no recuerdo mas. Lo solucione con usuario y clave de apache ya que necesitaba el puerto abierto.
Por suerte, este ataque fue masivo y como llamaba exclusivamente a cuatro números estos estaban casi siempre comunicando.

RiveraPer por usuario y clave si la descubren y es una vulnerabilidad lo realizan igual si lo detectas de nuevo o a alguien por favor que verifiquen los logs y nos pase las llamadas para ver como lo ejecutan y poder evitarlo

gracias por el aporte

No fue por usuario y clave, recuerdo haber mirado los los log de apache y fue una URL de mas de cuatro lineas.

Mira este post, es de junio de 17
https://forum.issabel.org/d/187-beware-new-elastix-2-5-4-0-freepbx-2-11-0-26-exploit

si recuerdo ese tema, era por el a2billing que no estaba actualizado por eso se quito de los extras y no se instala desde entonces, aunque ya a fecha de hoy se podria poner la version actualizada la verdad.

Pero creo recordar que eso quedo solucionado en el a2billing tambien en su actualizacion

Me temo que no necesitan a2billing. Mediante el scrip que ponían en la URL creaban un fichero /var/www/html/_asterisk, si no mal recuerdo este es el que creaba la ruta. Lo que nunca he sabido es como creaban el crom.
Yo tengo algunas centralitas con Issabel (la mayoría en Elaxtix y freepbx) y con los puertos 443, 22 y 10000 abiertos (redirecionados externamente son el 4437, 202 y el 99999) y protegidos con reglas de geoip en iptables. Todos los días detecto mas de 10 ataques al puerto 443, entre 2 y 3 al 22 y unos 20 al 10000.
También tengo abiertos los puertos sip en centralitas de prueba, sin troncales, para ver los posibles ataques y con geoip bloqueando todos los países menos el mio (España) y no me llega ningún ataque a fail2ban.

Para mi, lo ideal es no tener puertos abiertos, pero si necesitas abrirlos con reglas de geoip en iptables (bloqueando todos los países innecesarios) mas algunas otras bloqueando los típicos programas utilizados para ataques SIP mas fail2ban, queda una centralita bastante segura.

efectivamente lo bueno de issabel 4 es que permite bloquear por paises, la penas es en las versiones anteriores, pero al menos con el fail2ban y como dices cambiando los puertos para evitar esos problemas suele quedar bastante seguro.

A ver si en versiones futuras se mejora tambien ese apartado y se hace mas intuitivo y sobre todo mas seguro

yo personalmente a eso le sumo el acceso mediante bloqueo de .htaccess que comentas que eso ya evita el 95% de los ataques via web

Mira, esto es un log de geoip en una centralita con los puertos 22 443 y 10000 abiertos.

Jan 6 05:08:40 sipgeoip: SRC=159.65.128.134 DPT=22
Jan 6 07:17:34 sipgeoip: SRC=120.52.152.18 DPT=443
Jan 6 08:38:55 sipgeoip: SRC=176.119.4.48 DPT=10000
Jan 6 13:47:06 sipgeoip: SRC=45.227.253.10 DPT=22
Jan 7 07:08:12 sipgeoip: SRC=45.227.253.10 DPT=443
Jan 7 07:08:55 sipgeoip: SRC=94.102.49.190 DPT=10000
Jan 7 14:04:52 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:52 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:55 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:04:55 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 7 14:05:02 sipgeoip: SRC=37.8.44.234 DPT=443
Jan 8 17:01:49 sipgeoip: SRC=78.128.112.74 DPT=10000
Jan 9 02:03:07 sipgeoip: SRC=176.119.4.48 DPT=443
Jan 9 17:01:58 sipgeoip: SRC=198.108.67.98 DPT=22

Todos ellos redireccionados, pero como puedes ver redirecionarlos no vale de nada.

Es bueno tener un firewall principal y este adicionar software para que analice los paquetes y envié alertas. Y asegurar los hots o servidores y todo lo que este en esa red.
Ahora hay robots que escanean los puertos default de sip, iax, y todo lo que este en ese server hacia internet.
reglas de scaneo en el firewall yuda evitar esto.
Y contar con politicas de seguridad que uno implemente en todo. Pero no se realiza.
Se utiliza el root en ssh y no un usuario para accesar y después pasar a root.
El admin de web lo sabe todo el mundo y no se crean perfiles específicos.
Y hay documentación para realizar esto y recomendaciones.
Un proxy sip ayuda.
Hay que asegurar todo en una red. Y monitorear los logs.

He seguido vuestros consejos y despues de todo, parece ser, que no ha sido culpa de mi pbx, sino de mi trunk... despues de mirar mis log no tenia realizada ninguna llamada y al final han confirmado de que el ataque se lo habian realizado a ellos en sus servidores por un problema en una regla .... aun asi estoy siguiendo el manual para curarme en saludo

Muchas Gracias

Estoy probando reglas de iptables y parece ser que lo mas eficaz es:
1 redirigir puertos
2 no responder a ping
3 reglas en iptables antirastreo
4 reglas en iptables bloqueando con geoip de todos los paises (meno los necesarios claro)
5 reglas en iptables bloqueando los programas tipicos de hackeo
6 fail2bank

Con esta configuración no he recibido ningún ataque en 24 horas, lo cual es una proeza ya que recibía 2 por hora antes de ocultar ping y poner reglas antirastreo.

RiveraPer Esto lo realizas por el web de firewall de issabelpbx.
pega aquí las reglas para realizar pruebas.

No es por firewall de issabelpbx.
Esta sol las reglas que tengo actualmente, ojo con geoip que esta bloqueados todos los países menos España.

Iptables –new-chain ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ALL NONE -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j ANTIRASTREO
Iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j ANTIRASTREO
iptables -A ANTIRASTREO -j LOG --log-prefix "firewall-antirastreo: " --log-level 6
iptables -A ANTIRASTREO -j DROP

iptables --new-chain SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CN,GB,DE,FR,US,RU,ID,NL,LT,AL,VN,BG,CA,SC,US -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AO,BF,BI,BJ,BW,CD,CF,CG,CI,CM -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CV,DJ,DZ,EG,ER,ET,GA,GH,GM,GN -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GQ,GW,KE,KM,LR,LS,LY,MA,MG,ML -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MR,MU,MW,MZ,NA,NE,NG,RE,RW,SC -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SD,SH,SL,SN,SO,ST,SZ,TD,TG,TN -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TZ,UG,YT,ZA,ZM,ZW,AQ,GS,TF,AE -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AF,AM,AZ,BD,BH,BN,BT,CC,CN,CX -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CY,GE,HK,ID,IL,IN,IO,IQ,IR,JO -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JP,KG,KH,KP,KR,KW,KZ,LA,LB,LK -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MM,MN,MO,MV,MY,NP,OM,PH,PK,PS -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc QA,SA,SG,SY,TH,TJ,TL,TM,TR,TW -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc UZ,VN,YE,AD,AL,AT,AX,BA,BE,BG -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BY,CH,CZ,DE,DK,EE,FI,FO,FR -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GB,GG,GI,GR,HR,HU,IE,IM,IS,IT -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JE,LI,LT,LU,LV,MC,MD,ME,MK,MT -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NL,NO,PL,PT,RO,RS,RU,SE,SI,SJ -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SK,SM,UA,VA,AG,AI,AW,BB,BL,BM -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BS,BZ,CA,CR,CU,DM,DO,GD,GL,GP -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GT,HN,HT,JM,KN,KY,LC,MF,MQ,MS -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MX,NI,PA,PM,PR,SV,TC,TT,US,VC -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc VG,AS,AU,CK,FJ,FM,GU,KI,MH,MP -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NC,NF,NR,NU,NZ,PF,PG,PN,PW,SB -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TK,TO,TV,UM,VU,WF,WS,AR,BO,BR -j SIPGEOIP
iptables -A INPUT -p tcp -m tcp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CL,CO,EC,FK,GF,GY,PE,PY,SR,UY -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CN,GB,DE,FR,US,RU,ID,NL,LT,AL,VN,BG,CA,SC,US -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AO,BF,BI,BJ,BW,CD,CF,CG,CI,CM -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CV,DJ,DZ,EG,ER,ET,GA,GH,GM,GN -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GQ,GW,KE,KM,LR,LS,LY,MA,MG,ML -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MR,MU,MW,MZ,NA,NE,NG,RE,RW,SC -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SD,SH,SL,SN,SO,ST,SZ,TD,TG,TN -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TZ,UG,YT,ZA,ZM,ZW,AQ,GS,TF,AE -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc AF,AM,AZ,BD,BH,BN,BT,CC,CN,CX -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CY,GE,HK,ID,IL,IN,IO,IQ,IR,JO -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JP,KG,KH,KP,KR,KW,KZ,LA,LB,LK -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MM,MN,MO,MV,MY,NP,OM,PH,PK,PS -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc QA,SA,SG,SY,TH,TJ,TL,TM,TR,TW -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc UZ,VN,YE,AD,AL,AT,AX,BA,BE,BG -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BY,CH,CZ,DE,DK,EE,FI,FO,FR -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GB,GG,GI,GR,HR,HU,IE,IM,IS,IT -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc JE,LI,LT,LU,LV,MC,MD,ME,MK,MT -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NL,NO,PL,PT,RO,RS,RU,SE,SI,SJ -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc SK,SM,UA,VA,AG,AI,AW,BB,BL,BM -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc BS,BZ,CA,CR,CU,DM,DO,GD,GL,GP -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc GT,HN,HT,JM,KN,KY,LC,MF,MQ,MS -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc MX,NI,PA,PM,PR,SV,TC,TT,US,VC -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc VG,AS,AU,CK,FJ,FM,GU,KI,MH,MP -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc NC,NF,NR,NU,NZ,PF,PG,PN,PW,SB -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc TK,TO,TV,UM,VU,WF,WS,AR,BO,BR -j SIPGEOIP
iptables -A INPUT -p udp -m udp -m multiport --dports 5060:5082,80,443,22,10000:20000 -m geoip --src-cc CL,CO,EC,FK,GF,GY,PE,PY,SR,UY -j SIPGEOIP

iptables -A INPUT -p tcp -m tcp -m multiport --dports 80,443 -m geoip --src-cc A1 -j SIPGEOIP
iptables -A SIPGEOIP -j LOG --log-prefix "firewall-sipgeoip: " --log-level 6
iptables -A SIPGEOIP -j DROP

iptables --new-chain SIPDDOS
#User-Agent: sipcli/v1.8
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sundayddr" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sundayddr" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipsak" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sipsak" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipvicious" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipvicious " --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "friendly-scanner" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "friendly-scanner" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "iWar" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "iWar" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip-scan" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip-scan" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sipcli" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sipcli" --algo bm -j SIPDDOS
#iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "eyeBeam" --algo bm -j SIPDDOS
#iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "eyeBeam" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "pjsip python" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "pjsip python" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "Custom SIP Phone" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "Custom SIP Phone" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip:nm@nm" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip:nm@nm" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --dport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm -j SIPDDOS
iptables -A INPUT -p tcp --sport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sundayddr" --algo bm --to 65535 -m comment --comment "deny sundayddr" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sundayddr" --algo bm --to 65535 -m comment --comment "deny sundayddr" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipsak" --algo bm --to 65535 -m comment --comment "deny sipsak" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipsak" --algo bm --to 65535 -m comment --comment "deny sipsak" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipvicious" --algo bm --to 65535 -m comment --comment "deny sipvicious" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipvicious" --algo bm --to 65535 -m comment --comment "deny sipvicious" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "friendly-scanner" --algo bm --to 65535 -m comment --comment "deny friendly-scanner" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "friendly-scanner" --algo bm --to 65535 -m comment --comment "deny friendly-scanner" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "iWar" --algo bm --to 65535 -m comment --comment "deny iWar" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "iWar" --algo bm --to 65535 -m comment --comment "deny iWar" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip-scan" --algo bm --to 65535 -m comment --comment "sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip-scan" --algo bm --to 65535 -m comment --comment "sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipcli" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipcli" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sipcli/v1.8" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sipcli/v1.8" --algo bm --to 65535 -m comment --comment "deny sip-scan" -j SIPDDOS
#iptables -A INPUT -p udp --sport 5060:5082 -m string --string "eyeBeam" --algo bm --to 65535 -m comment --comment "deny eyeBeam" -j SIPDDOS
#iptables -A INPUT -p udp --dport 5060:5082 -m string --string "eyeBeam" --algo bm --to 65535 -m comment --comment "deny eyeBeam" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "pjsip python" --algo bm --to 65535 -m comment --comment "deny pjsip python" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "pjsip python" --algo bm --to 65535 -m comment --comment "deny pjsip python" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "Custom SIP Phone" --algo bm --to 65535 -m comment --comment "deny Custom SIP Phone" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "Custom SIP Phone" --algo bm --to 65535 -m comment --comment "deny Custom SIP Phone" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm --to 65535 -m comment --comment "deny VaxSIPUserAgent" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "VaxSIPUserAgent" --algo bm --to 65535 -m comment --comment "deny VaxSIPUserAgent" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip:nm@nm" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip:nm@nm" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --sport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A INPUT -p udp --dport 5060:5082 -m string --string "sip:carol@chicago.com" --algo bm --to 65535 -m comment --comment "deny sip:nm@nm" -j SIPDDOS
iptables -A SIPDDOS -j LOG --log-prefix "firewall-sipddos: " --log-level 6
iptables -A SIPDDOS -j DROP

RiveraPer gracias, por el aporte una pregunta como desabilito por web que no sebreescriba estas reglas. gracias.