Звонки за границу

[ertaquo]

Добрый день.
У нас в фирме есть колл-центр, работающий через Asterisk 11.7.0, настраивался изначально не мной. Где-то с ноября 2014 начались периодические странные звонки за границу, на номера типа 0810972599565825 или 00972599565825. Первые звонки в Британию и Афганистан длились 1-31 секунд, потом "Зебра-Телеком" отключила нам исходящие вызовы и стали разбираться. Теперь исходящие снова включены, но звонки обрываются сразу (возможно, "Зебра" решила блокировать их сама).
Я уже перелопатил все, что только смог найти, но не могу разобраться, где дыра Причем жестко отключить вызовы на все заграничные иностранные нельзя - теоретически операторы должны иметь возможность туда звонить.
Звонки совершаются от существующих пиров. Причем судя по логам, появляются из ниоткуда:

Код: Выделить всё

[Mar 23 17:25:55] VERBOSE[21378][C-000005f0] pbx.c:     -- Executing [00972599565825@dlpln:1] MixMonitor("SIP/10-00000309", "1427117155.777.wav") in new stack
[Mar 23 17:25:55] VERBOSE[21378][C-000005f0] pbx.c:     -- Executing [00972599565825@dlpln:2] Dial("SIP/10-00000309", "SIP/zebraru_out0/00972599565825") in new stack
[Mar 23 17:25:55] VERBOSE[21379][C-000005f0] app_mixmonitor.c:   == Begin MixMonitor Recording SIP/10-00000309
[Mar 23 17:25:55] VERBOSE[21378][C-000005f0] netsock2.c:   == Using SIP RTP CoS mark 5
[Mar 23 17:25:55] VERBOSE[21378][C-000005f0] app_dial.c:     -- Called SIP/zebraru_out0/00972599565825
[Mar 23 17:25:55] WARNING[21378][C-000005f0] channel.c: No path to translate from SIP/zebraru_out0-0000030a to SIP/10-00000309
[Mar 23 17:25:55] VERBOSE[21378][C-000005f0] pbx.c:   == Spawn extension (dlpln, 00972599565825, 2) exited non-zero on 'SIP/10-00000309'
[Mar 23 17:25:55] VERBOSE[21379][C-000005f0] app_mixmonitor.c:   == MixMonitor close filestream (mixed)
[Mar 23 17:25:55] VERBOSE[21379][C-000005f0] app_mixmonitor.c:   == End MixMonitor Recording SIP/10-00000309

Но ни одной строчки, связанной с пиром 10, в логах не находится, а этот сам человек не пользуется телефонией уже несколько месяцев.
Подборы паролей типа

Код: Выделить всё

[Jan 26 16:04:06] NOTICE[26802] chan_sip.c: Registration from '"9684" <sip:9684@212.124.126.83:5060>' failed for '23.92.80.82:5075' - Wrong password
[Jan 26 16:04:06] SECURITY[26786] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="1422273846-282383",Severity="Error",Service="SIP",EventVersion="2",AccountID="9684",SessionID="0x7fa42c035948",LocalAddress="IPV4/UDP/212.124.126.83/5060",RemoteAddress="IPV4/UDP/23.92.80.82/5075",Challenge="65785b36",ReceivedChallenge="65785b36",ReceivedHash="e97f8f27d3cf072b817c14ff58b4aa9d"

совершаются по куче раз на дню, но блокируются через Fail2Ban после 5 неверной попытки входа.
Кусок sip.conf с основными настройками:

Код: Выделить всё

[general]
rtsavesysname = yes
rtcachefriends = yes
context = bogus
pedantic = no
allowguest = no
tcpenable = no
srvlookup = yes
transport = udp
icesupport = yes
callcounter = yes
alwaysauthreject = yes

Кроме этого заданы только каналы (через register), логи и dialplan.
Сам Asterisk крутится в виртуалке, конфиги хранятся в PostgreSQL, левый никто ни туда, ни туда не заходил.
Подскажите, пожалуйста, в какую сторону можно копать?
Заранее спасибо!

[Vlad1983]

context dlpln
peer 10
ищите

[ertaquo]

А можно поподробнее?
Через контекст dlpln ведутся исходящие вызовы. Пир 10 в логах не отмечался до момента совершения этого звонка, причем вообще никак - человек просто не пользовался связью.

[SolarW]

Где-то с ноября 2014 начались периодические странные звонки за границу

А можно поподробнее?

Есть подозрение что с таким подходом вам еще долго терпеть убытки
Если хотите оперативно решить проблему - наверное вам надо обратится к специалисту по астериску за (платной) помощью (нет, не ко мне).
Потому как направление поисков вам задали а вы, судя по вашим фразам, так и не поняли куда собственно идти для решения проблемы.
Как сами понимаете, рассказать вам что должно быть в диалплане а чего не должно быть, как определить способ инициализации звонка и т.д. - достаточно длительная и не очень благодарная процедура.
Причем вы в своих размышлениях подозреваете что подобран пароль от номера, а ведь вполне может быть что злоумышленник уже полностью захватил управление вашим сервером и пароль прям из conf -файлов выписывает. Или там call-файлы создает, при звонках на платные номера нет необходимости разговаривать, достаточно звонок на MOH завернуть.
И чтобы такую проблему решить изучения лог-файлов астериска не поможет - изучать логи соединений по ssh надо, искать бэкдоры и т.д.

[Zavr2008]

Registration from '"9684" <sip:9684@212.124.126.83:5060>' failed for '23.92.80.82:5075' - Wrong password

Совсем бесшабашность - стиль жизни?

Учили же:
1. alwaysauthreject= yes в general sip.conf
2. Нахрена вообще пробрасывать порт SIP/UDP если у Вас все операторы - в локалке? Для регистрации у SIP оператора это не требуется.
3. Не умеем у пиров прописать permit/deny списки? Чтобы только из локалки могли звонить.

Видимо еще мало назвонили в Сомали и Гондурас коль такое еще возможно..

[virus_net]

Код: Выделить всё

CLI> dialplan show dlpln

Код: Выделить всё

[dlpln]
exten => _X.,1,MixMonitor()
exten => _X.,n,NoOp(Call from IP ${CHANNEL(recvip)} to exten ${EXTEN})
exten => _X.,n,Dial(SIP/zebraru_out0/${EXTEN},60,Ti)

+
Asterisk sip permit-deny-mask
защита asterisk

[Vlad1983]

пользовался человек или не пользовался связью не имеет никакого значения
слабый пароль или его отсутствие, опция insecure, непродуманные include контекстов

[ertaquo]

Причем вы в своих размышлениях подозреваете что подобран пароль от номера, а ведь вполне может быть что злоумышленник уже полностью захватил управление вашим сервером и пароль прям из conf -файлов выписывает. Или там call-файлы создает, при звонках на платные номера нет необходимости разговаривать, достаточно звонок на MOH завернуть.
И чтобы такую проблему решить изучения лог-файлов астериска не поможет - изучать логи соединений по ssh надо, искать бэкдоры и т.д.

Вполне возможно. Логирование ssh-соединений включил, проверю, спасибо. Но судя по датам изменений, conf-файлы не трогались, а к базе есть доступ только внутри локалки.

1. alwaysauthreject= yes в general sip.conf

Стоит, конфиг я прикладывал выше.

2. Нахрена вообще пробрасывать порт SIP/UDP если у Вас все операторы - в локалке? Для регистрации у SIP оператора это не требуется.
3. Не умеем у пиров прописать permit/deny списки? Чтобы только из локалки могли звонить.

Операторы не в локалке, а разбросаны по стране. Asterisk крутится в виртуалке на дедике.

Код: Выделить всё

CLI> dialplan show dlpln

Код: Выделить всё

[ Context 'dlpln' created by 'pbx_config' ]
  '07' =>           1. Macro(fallback_to_mobile,07,номер сотового)   [pbx_config]
...кучка пиров с номерами сотовых...
  '29' =>           1. Macro(fallback_to_mobile,29,номер сотового)   [pbx_config]
  '91' =>           1. Answer()                                   [pbx_config]
                    2. Playback(tt-weasels)                       [pbx_config]
                    3. Hangup()                                   [pbx_config]
  '_38X.' =>        1. Dial(SIP/dgua/${EXTEN:2})                  [pbx_config]
  '_XX' =>          1. NoOp()                                     [pbx_config]
                    2. Dial(SIP/${EXTEN})                         [pbx_config]
  '_X.' =>          1. MixMonitor(${UNIQUEID}.wav)                [pbx_config]
                    2. Dial(SIP/zebraru_out0/${EXTEN})            [pbx_config]

[ Context 'macro-fallback_to_mobile' created by 'pbx_config' ]
  's' =>            1. MixMonitor(${UNIQUEID}.wav)                [pbx_config]
                    2. Dial(SIP/${ARG1},20,t)                     [pbx_config]
                    3. Goto(s-${DIALSTATUS},1)                    [pbx_config]
  's-BUSY' =>       2. Hangup()                                   [pbx_config]
  's-NOANSWER' =>   1. Dial(SIP/zebraru_out0/${ARG2})             [pbx_config]
  '_s-.' =>         1. Goto(s-NOANSWER,1)                         [pbx_config]

пользовался человек или не пользовался связью не имеет никакого значения
слабый пароль или его отсутствие, опция insecure, непродуманные include контекстов

Пароли стоят у всех, 16 символов, цифробуквенные.

[ded]

Операторы не в локалке, а разбросаны по стране. Asterisk крутится в виртуалке на дедике.

Ну тогда рано или поздно это должно случиться.
Или Вы становитесь мастером по теме SIP безопасность, или вас будут раздевать по всей стране.

Причем судя по логам, появляются из ниоткуда:

загляните в manager.conf

[ertaquo]

Всем хорошего настроения!
Слоу-благодарю всех за советы в этой теме, но помочь они особо не помогли. Поэтому я переместил сервер Asterisk на нестандартный порт, а на стандартном 5060 оставил ловушку-honeypot для блокировки через iptables всех постучавшихся на этот порт, написав простенькую программку с whitelist'ом, чтоб не банились IP офисов. За полторы недели программка забанила почти две сотни IP потенциальных злоумышленников, новых же звонков за границу пока не было, так что наверное mission complete Если кому-нибудь надо будет, программка с примером конфига лежит тут: https://github.com/ertaquo/port2ban (пардон за негладкий код).