Взломали?

[Cvieri]

Словил кучу исходящих звонков:

Код: Выделить всё

112707 	2011-01-06 23:05:56 	"101" <101> 	101 	16015443560 	from-internal 	SIP/101-b6966b08
112706 	2011-01-06 23:05:54 	"101" <101> 	101 	16014821687 	from-internal 	SIP/101-b71b39c0
112705 	2011-01-06 23:05:52 	"101" <101> 	101 	16015448078 	from-internal 	SIP/101-b7486220

Экстеншн под паролем

asterisk -rx 'sip show peers'
101 (Unspecified) D N A 0 UNKNOWN

Сменил пароль, звонки перестали бегать в логах нашел такое:

Код: Выделить всё

 NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@тут_IP_сервера>;tag=as01a6ac47

Каким образом поломали и как защититься?

[zepps]

Да, взломали.
Как? Телепатические способности, доставшиеся мне от прабабки, говорят, что у вас стоял простой пароль, внаружу смотрел FOP, не был удален пользователь wwwadmin, стоял дефолтный пароль на maint, не был установлен fail2ban, ну и так далее.

[Cvieri]

Хорошо, тогда каким образом взломщик конектился 101 екстеншином к * , если его в пирах не видно?

И что значит строка:
NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@тут_IP_сервера>;tag=as01a6ac47

[zepps]

Cvieri, тема расследований атак не так проста, как вам может показаться. Вы не сообщили ровно никакой инфы, о чем я уже намекал телепатией.

[Cvieri]

Вы не поверите, мне не интересно как он меня взломал, мне интересно, как он звонил? Для этого я предоставил всю инфу, которую посчитал нужной. Если чего не хватает - скажите.

[zepps]

Вам не интересно, как проникли в дом, вам интересно как оттуда вынесли телевизор.

Для расследования нужен как минимум доступ к станции, либо полный набор всех системных логов.

[ded]

Cvieri, в пирах не будет его видно. Для того чтобы звонить не нужно присутствовать в пирах. Так как 101 - динамический пир, то для аутентификации звонка нужно только username & secret. Если у вас это было типа 101 & 101, то с любого ИП адреса можно посылать звонок используя username=101 & secret=101 при INVITE, при этом если свой родной 101-й зарегистрирован, то это не повлияет на возможность позвонить никак. Интересно, правда?
Представьте, что мир, в некоторой его части, устроен не так как Вам представлялось.
Только не пытайтесь оспаривать это утверждение.

[Cvieri]

ded спасибо за внятный ответ,

Как мне вычислить каким образом и откуда он присасывался к * ?

И больше меня всего волнует, что фейл2бан не заблочит этого умельца и он сможет опять подобрать пароль:

[2011-01-07 03:57:16] NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@194.44.193.251>;tag=as662bff32
[2011-01-07 04:06:43] NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@194.44.193.251>;tag=as477eb3e6
[2011-01-07 04:10:08] NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@194.44.193.251>;tag=as38385819
[2011-01-07 04:17:00] NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@194.44.193.251>;tag=as2ea14156
[2011-01-07 04:39:32] NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@194.44.193.251>;tag=as3daa38d5

[ded]

C таким количеством Failed to authenticate user уж всяко должен был его fail2ban залочить!
Не настроен должным образом?

http://asterisk.ru - четать на первой странице.

[Cvieri]

Дед, спасибо за ссылку.

Но всё же как феил2бан отбанит его, если в логе нет ИП хакера:

Код: Выделить всё

NOTICE[2607] chan_sip.c: Failed to authenticate user "asterisk" <sip:101@тут_IP_сервера>;tag=as01a6ac47

Для эксперимента я сделал транк на экстеншн типа:

ext:secret@ip_address

Заведомо пароль был неверен, лог выдал:

Код: Выделить всё

[2011-01-07 15:20:13] NOTICE[2607] chan_sip.c: Registration from '<sip:101@тут_IP_сервера>' failed for 'тут_IP_сервера' - Wrong password

Как же он делал исходящие?