Поломали астера.

kramer75 · Сообщение **kramer75** » 30 мар 2016, 09:10

Доброго дня.

Пожаловался клиент на счета, шо приходят както бОльше ожиданного.

Расследование указало на наличие левого транка и привязаного к нему роута.

Это получается взломали вебморду путем мне неизвестным. И прописали...

Детали заботливо выкладываю: (мошт кому пригодится

)
СИД:442035198194

PEER Details:
username=59122
user=59122
type=friend
secret=1234Bizitel56
qualify=yes
insecure=port,invite
host=178.63.143.236
fromuser=442035198194
context=from-trunk
authname=59122

регистрационная строка: 59122:1234Bizitel56@178.63.143.236

_Pavel_ · Сообщение **_Pavel_** » 30 мар 2016, 10:26

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?

kramer75 · Сообщение **kramer75** » 30 мар 2016, 13:30

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?

а пёс его знает. я как включил сипдебаг - ужоснулся, поменял ип адрес шоб дальше не списывались деньги.
видел чтото типа friendlyscanner с адреса 100@1.1.1.1 и пакеты на ип адреса, которых в иптаблес не указано. (иптаблес разрешал 2 офиса и пров, итого 3 ип). ответ сервера -REGISTERED.
абонента 100 не существовало, создал его с тяжелым паролем - по барабану -звонки типа как изнутри.
еще в билинге замечены звонки от абонента 105, такой в принципе есть, но телефон на него не подключен.
в общем хацкеры оказались смышлёные. переустановил всё заново, старую виртуалку оставил для опытов - мошт когдато докумекаю как поломали...

ded · Сообщение **ded** » 30 мар 2016, 16:15

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.

kramer75 · Сообщение **kramer75** » 31 мар 2016, 09:19

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.

Спасибо за наводку.
1. старый модуль Asterisk recording interface в 12 версии присутствует? Если да, как бы его выключить?
2. в manager.conf после работы с вебинтерфейсом с "yes" переключаю на "no". Считал шо это ускладнит работу кулхакеров... Так как процентов 80 тогочто можно изменить в вебуправлении- не работает. Неужто такой маневр наоборот помогает?
3. все пароли 8+. без fail2ban, ограничения сессий нет....
странно что звонки шли сквозь иптаблес, как будто его нет. а он есть.

Начало слива трафика произошло в конце января... Боюсь шо всьо кануло. Кстати шоб http логи писались - их надо включить. Чего не делалось.

ded · Сообщение **ded** » 31 мар 2016, 10:22

Скорбим, помним.
Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!

kramer75 · Сообщение **kramer75** » 31 мар 2016, 12:05

Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!

у блн, думал "оверквотинг" это пиво после вискаря. Век живи - век учись.

Obi Van · Сообщение **Obi Van** » 01 апр 2016, 10:07

kramer75
Сочувствуем ((
Всё таки лучше поставить туда fail2ban. Прилепить monast, который бы следил за работоспособностью демона fail2ban (вдруг рухнет). Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы. Порт AMI 5038 тоже нет нужды, чтобы телепался на внешке.

kramer75 · Сообщение **kramer75** » 05 апр 2016, 11:43

Obi Van

Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы

возможно есть какойто универсальный рецепт, что именно подправить в настройках httpd ?

Заранее спасибо.

Obi Van · Сообщение **Obi Van** » 05 апр 2016, 13:15

Код: Выделить всё

netstat -atnup | grep apache

Что выдаёт?
В настройках апач поставить прослушивание только внутреннего IP.
В межсетевом экране (кусок из iptables.up.rules):

Код: Выделить всё

-A INPUT -p tcp -m tcp -i <внешний интерфейс в интернет> --dport 80 -j LOGDROP
-A INPUT -j LOGDROP
-A LOGDROP -p tcp -m tcp -j LOG  --log-prefix "TCP LOGDROP: " --log-level 7
-A LOGDROP -p udp -m udp -j LOG  --log-prefix "UDP LOGDROP: " --log-level 7
-A LOGDROP -j DROP

В логах будет видно кто сосбно ломился, а потом он будет дропнут.

Поломали астера.

Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.

Re: Поломали астера.