VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Поломали астера.

Разговоры на кухне

Модераторы: april22, Zavr2008

Аватара пользователя
kramer75
Сообщения: 27
Зарегистрирован: 17 мар 2016, 11:36
Откуда: Kyiv

Поломали астера.

Сообщение kramer75 »

Доброго дня.

Пожаловался клиент на счета, шо приходят както бОльше ожиданного.

Расследование указало на наличие левого транка и привязаного к нему роута.

Это получается взломали вебморду путем мне неизвестным. И прописали...


Детали заботливо выкладываю: (мошт кому пригодится :))
СИД:442035198194

PEER Details:
username=59122
user=59122
type=friend
secret=1234Bizitel56
qualify=yes
insecure=port,invite
host=178.63.143.236
fromuser=442035198194
context=from-trunk
authname=59122

регистрационная строка: 59122:1234Bizitel56@178.63.143.236
_Pavel_
Сообщения: 32
Зарегистрирован: 16 июл 2015, 16:31
Контактная информация:

Re: Поломали астера.

Сообщение _Pavel_ »

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?
Аватара пользователя
kramer75
Сообщения: 27
Зарегистрирован: 17 мар 2016, 11:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение kramer75 »

ip-шник вот этих ребят didlogic.com
https://didlogic.com/support/setup-guid ... k-callerid
Клиент точно к ним не подключался?
а пёс его знает. я как включил сипдебаг - ужоснулся, поменял ип адрес шоб дальше не списывались деньги.
видел чтото типа friendlyscanner с адреса 100@1.1.1.1 и пакеты на ип адреса, которых в иптаблес не указано. (иптаблес разрешал 2 офиса и пров, итого 3 ип). ответ сервера -REGISTERED.
абонента 100 не существовало, создал его с тяжелым паролем - по барабану -звонки типа как изнутри.
еще в билинге замечены звонки от абонента 105, такой в принципе есть, но телефон на него не подключен.
в общем хацкеры оказались смышлёные. переустановил всё заново, старую виртуалку оставил для опытов - мошт когдато докумекаю как поломали... :)
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: Поломали астера.

Сообщение ded »

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.
Аватара пользователя
kramer75
Сообщения: 27
Зарегистрирован: 17 мар 2016, 11:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение kramer75 »

Три распространённых способа пролома (по частоте случаев)
1) Через вэб управлялки, методом типа PHP-inject, например во FreePBX долгое время - через старый модуль Asterisk recording interface
2) Через порт AMI (особенно если экспериментировали в manager.conf с alow & deny)
3) Брутфорс паролей.
Последний метод срабатывал только если не было ограничения сессий и система без fail2ban или со съехавшим fail2ban

Смотрите по датам создания, совпадающим с началом слива трафика, если давно, то http логов уже не найти.
Спасибо за наводку.
1. старый модуль Asterisk recording interface в 12 версии присутствует? Если да, как бы его выключить?
2. в manager.conf после работы с вебинтерфейсом с "yes" переключаю на "no". Считал шо это ускладнит работу кулхакеров... Так как процентов 80 тогочто можно изменить в вебуправлении- не работает. Неужто такой маневр наоборот помогает?
3. все пароли 8+. без fail2ban, ограничения сессий нет....
странно что звонки шли сквозь иптаблес, как будто его нет. а он есть.

Начало слива трафика произошло в конце января... Боюсь шо всьо кануло. Кстати шоб http логи писались - их надо включить. Чего не делалось.
ded
Сообщения: 15621
Зарегистрирован: 26 авг 2010, 19:00

Re: Поломали астера.

Сообщение ded »

Скорбим, помним.
Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!
Аватара пользователя
kramer75
Сообщения: 27
Зарегистрирован: 17 мар 2016, 11:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение kramer75 »

Остерегайтесь оверквотинга (полное цитирование предыдущего поста), это инфернальный признак!
у блн, думал "оверквотинг" это пиво после вискаря. Век живи - век учись.
Аватара пользователя
Obi Van
Сообщения: 340
Зарегистрирован: 03 сен 2010, 11:21

Re: Поломали астера.

Сообщение Obi Van »

kramer75
Сочувствуем ((
Всё таки лучше поставить туда fail2ban. Прилепить monast, который бы следил за работоспособностью демона fail2ban (вдруг рухнет). Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы. Порт AMI 5038 тоже нет нужды, чтобы телепался на внешке.
Аватара пользователя
kramer75
Сообщения: 27
Зарегистрирован: 17 мар 2016, 11:36
Откуда: Kyiv

Re: Поломали астера.

Сообщение kramer75 »

Obi Van
Пересмотреть настройки apache, чтобы он не слушал внешние интерфейсы
возможно есть какойто универсальный рецепт, что именно подправить в настройках httpd ?

Заранее спасибо.
Аватара пользователя
Obi Van
Сообщения: 340
Зарегистрирован: 03 сен 2010, 11:21

Re: Поломали астера.

Сообщение Obi Van »

Код: Выделить всё

netstat -atnup | grep apache
Что выдаёт?
В настройках апач поставить прослушивание только внутреннего IP.
В межсетевом экране (кусок из iptables.up.rules):

Код: Выделить всё

-A INPUT -p tcp -m tcp -i <внешний интерфейс в интернет> --dport 80 -j LOGDROP
-A INPUT -j LOGDROP
-A LOGDROP -p tcp -m tcp -j LOG  --log-prefix "TCP LOGDROP: " --log-level 7
-A LOGDROP -p udp -m udp -j LOG  --log-prefix "UDP LOGDROP: " --log-level 7
-A LOGDROP -j DROP
В логах будет видно кто сосбно ломился, а потом он будет дропнут.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH