asterisk.ru

Собственно вопрос , провайдер звонков за границу сообщил о подозрительных звонках за границу и закрыл со своей стороны такую возможность , но факт остается фактом , звонки были . Просмотрев все настройки Elastix и не найдя никаких изменений в настройках GUI были замечены записи в CDR где Destination обозначен буквой s . Насколько я могу судить , был успешный взлом системы и вследствие этого вопрос , что смотреть , где искать .

записи в CDR где Destination обозначен буквой s, это неуспешные попытки взлома. Тогда система отвечает голосом ss-noservice.
Куда и как хакеры тыркались - можно увидеть в журнале
/var/log/asterisk/full

неуспешные попытки взлома

На деле к сожалению они оказались успешными , каждый из них по 15 - 20 мин . Лог full я конечно просмотрю , но что в нем искать .... В этом был вопрос .

по логам (без них тоже возможно, но дольше) можно найти пиры без регистрации, без ACL, с контекстами default либо с контекстами внутренних пиров
либо IVR, очереди выход из которых происходит в контексты внутренних пиров

ded писал(а):записи в CDR где Destination обозначен буквой s, это неуспешные попытки взлома.

yur4ik писал(а):На деле к сожалению они оказались успешными , каждый из них по 15 - 20 мин .

Это утверждение специалиста, который понимает, что говорит? Вас хакнули так, что исполненные звонки по 15-20 мин. скорее всего были сделаны с шагом NoCDR, поэтому Вы их не видите в вэб интерфейсе.

yur4ik писал(а):Лог full я конечно просмотрю , но что в нем искать .... В этом был вопрос .

yur4ik, вас взломали, стало быть искать следы взлома.

Смотреть конечно нужно логи. Тебе нужно понять что происходило. Скорее всего подобрали или тиснули пароль у кого-то из валидных пользователей.
Но это уже следствие, а тебе думаю стоит направить свои усилия в сторону причины.
Нужно бы проверить собственную систему на предмет простых паролей к SIP аккаунтам, проверить возможность совершения вызовов без регистрации, по возможности сделать ACL`ы на SIP пиров, посканить свой сервер набором утилит SIPVicious tool suite и т.д.

Спасибо всем ответившим , странная вещь оказалась с логами , активность ( взлом ) произошли 14-15 числа , в папке /var/log/asterisk были два лога full и full.1 оба лога были просмотрены и даты в них были только на 16 число .

Это утверждение специалиста, который понимает, что говорит?

Ни в коем случае , это констатация факта " нубом " который просит о помощи в теме для " Новичков "

yur4ik, вас взломали, стало быть искать следы взлома

Собственно об этом и вопрос ...
В общем подводя итог , как я уже говорил в начале темы , провайдер на своем уровне закрыл возможность звонков за границу , я со своей стороны поменял все возможные пароли ( включая перерегистрацию пиров ) , но осадок неприятный остался , что " сделали " меня и я не смог найти кто , где и как ....
П.С. Вопрос не совсем по теме , но все же отвечает главному критерию , как , с чего начинать " подыматься " с уровня " нуба " в плане администрирования Asterisk , что бы не было вопросов что смотреть , где искать и т.д. и т.п. Или все это приходит со временем и через чтения форумов ?

покажите пару таких строк в CDR

yur4ik писал(а): с чего начинать " подыматься " с уровня " нуба " в плане администрирования Asterisk

Да как и в любом другом случае начинать стоит с книжек и документации.
Я не претендую на место "гуру", но лично мне в самом начале очень помогли книжки:
Asterisk: The Future of Telephony: The Future of Telephony
Asterisk Cookbook
Протокол SIP (Гольдштейн Б.С., Зарубин А.А., Саморезов В.В.)