Статьи об слабых местах и разборов взломов астериска

[Zavr2008]

3306 вообще нет смысла байндить кроме чем на 127.0.0.1 IMHO.

[denklu]

Но не через транки местных городских провайдеров.
ну и международные номера - в Сомали всякие и Гондурас - нужно прямо статикой в диалплане отправлять на hangUp сразу.
и логично по предоплате международку ставить, не постоплате - даже при наличии взлома попадос на строко дозированную сумму.
Еще логично для каждого sip пира сотрудника ограничить кол-во одновременных. В этом случае ценность для фродеров - минимальна.

alwaysauthreject=yes прописывал сразу, счас поищу как проверить.

Если оно бы стояло, не было бы Wrong password - сканер бы не мог найти рабочие экстены и бомбил наугад. А так он их уже нашел и начал бомбить целенаправленно брутом на валидные экстены.

Вообще же если есть недоверие к fail2ban, можно банить и тем-же микротиком по Layer7 фильтру SIP на register.
Плюс fail2ban не всё может забанить в случае, если chan_sip не пропатчен и старенький - там будет 127.0.0.1 итп..

это все было, я выше про это все писал. Запрет на всякие Сомали обеспечивает сам SIP-провайдер (Манго), у них в этом отношении очень удобно, они блокирую звонки как вам нужно, по группам риска, по регионам, вплоть до произвольных списков типа эти разрешить, а эти запретить. Работаем естественно по предоплате, поэтому ущерб составил 3860 руб. одновременные звонки запрещены и судя по тому что звонки шли в один поток, это работает. Про перебор экстенов, я тоже уже отписался, они все-таки были наугад. Но делалось это скорее всего для отвода глаз.

[denklu]

Пробой был через 4-жды дырявый модуль Recordings и/или FOP.
Закройте вообще доступ на 80-й портдля всех, сканеры обнаруживают сначала freePBX и пробивают его через php inject
Потом начинают бомбить на 5060.
Если глубоко долбанули - смотрите manager.conf - там доступ должен быть только permit 127.0.0.1
Если там 0.0.0.0 - уже расковыряли.

строки
-A INPUT -i eth1 -p tcp --dport 80 -j DROP
-A INPUT -i eth1 -p tcp --dport 443 -j DROP
в iptables всегда были. порт 22 изменен и имеет доступ только с определенного IP.
За остальное спасибо, тоже буду проверять.

[Zavr2008]

нельзя в таких вопросах полагаться только на провайдера. всегда есть человеческий фактор, который сложно предугадать.
защита должна быть многоуровневая - только тогда будет прок.
Ну и +100500 к посту ded: нельзя светить контрольные порты в инет, иначе это как в сауне с дефками без резинок))))

[denklu]

К своему стыду признаюсь, что пароль которым воспользовались злоумышленники, стоял на моем стационарном телефоне, на котором стояли дефолтные логин и пароль на настройки.
Но в логах астериска попыток подбора по этому экстешену практически нет (всего 4 попытки). подобрать за пару попыток его не могли, т.к. от 16-ти значный с разными регистрами и символами.
аппарат POLYCOM SoundPoint IP 320 расположен в локалке, получает(отправляет) настройки по TFTP, сервер TFTP тоже в локалке. может здесь где-то слабое звено?

[denklu]

Ну и +100500 к посту ded: нельзя светить контрольные порты в инет, иначе это как в сауне с дефками без резинок))))

Да закрыты они у меня были, доступ был разрешен только с одного IP и это точно работало, т.к. после того как провайдер поменял IP в нашем офисе я полностью потерял доступ к астериску, который раположен в другом офисе.

[ded]

Сфокусируйтесь на исследованиии: как 16-ти значный с разными регистрами и символами мог быть получен кулхацкерами?
У Вас явно больше возможностей по анализу доступности логов TFTP, HTTP, самого телефона, и тд.

[denklu]

Это, конечно, я понимаю возможностей больше, а вот знаний тут почти по нулям, 99% времени у меня занимает программирование 1С.
Я как всегда нахаляву надеялся услышь что-нибудь типа: POLYCOM это враг телефонии с нулевой защитой или TFTP - это зло, или сервера TFTP - это вообще практически трояны, сразу пересылают файлы конфигов хацкерам, которые за 1 сек расшифруют эти конфиги. Я тогда бы снес сервер TFTP, задвинул polycom за пару фаерволов и радостно побежал доделывать проект CRM со сдачей которого опаздываю на 2 недели. Ну и так всем большое спасибо!

[ded]

А наверное зря я свой Fail2ban обидел. в ту ночь он более 600 банов выдал, просто за ту пару секунд, которые требовались на реакцию Fail2ban, успевало пройти до 50-ти попыток регистрации.

наблюдаю на некоторых ресурсах 794 попытки подбора за 4 сек. и даже 910 попыток за 1 сек!
Ясно, что fail2ban не успевает среагировать.

Думаю, что полезно ограничить количество одновременных попыток до разумных, через iptables.

[denklu]

ну теперь я на 80% уверен что "дыра" в районе TFTP. Телефон POLYCOM при изменении каких-либо настроек (неважно через web или с клавиатуры) выгружает файл полной конфигурации на TFTP, включая адреса серверов, логины и пароли екстешенов в открытом виде. сервер TFTP прибил и пароли опять все поменял. Теперь осталось понять как эта инфа из локалки утекла наружу