asterisk.ru

Добрый день,
На время потребовалось перебросить 22 порт в Интернет. Подобрали пароль на пользователя Астерик. Пароль сменил, возможно было установлено зловредное ПО, т.к теперь удалено вредитель заходит под рутовым пользователем. Файервол включен, переброс портов с Интернета отключен, но ничего не помогает. Вредитель спокойно заходит на Астериск и делает, что угодно. А возможно я не правильно интерпретирую данные которые мне выдает netstat. Если меня взломали, как вычислить через какую дыру залазят и закрыть её? Или посоветуете снести все и заново установить и настроить для меня это не самый подходящий вариант?

С этих IP адресов заходят под рутом:
89.163.242.222:56793
123.31.35.72
195.154.189.212
163.172.201.77

Вот логи netstat выделил жирным шрифт то что меня беспокоит:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2353/mysqld
tcp 0 0 0.0.0.0:5038 0.0.0.0:* LISTEN 3464/asterisk
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1009/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3595/master
tcp 0 0 192.168.1.4:22 192.168.1.102:57224 ESTABLISHED 30543/sshd: root@pt
tcp 0 0 127.0.0.1:60235 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:60236 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 192.168.1.4:5038 89.163.242.222:56793 ESTABLISHED 3464/asterisk
tcp 0 0 192.168.1.4:22 192.168.1.102:56869 ESTABLISHED 29383/sshd: root@pt
tcp 0 0 127.0.0.1:60237 127.0.0.1:5038 TIME_WAIT -
tcp 0 272 192.168.1.4:22 192.168.1.102:57309 ESTABLISHED 31885/sshd: root@pt
tcp 0 76 192.168.1.4:22 123.31.35.72:61273 ESTABLISHED 32315/sshd: unknown
tcp6 0 0 :::80 :::* LISTEN 1004/httpd
tcp6 0 0 :::22 :::* LISTEN 1009/sshd
tcp6 0 0 :::8089 :::* LISTEN 3464/asterisk
tcp6 0 0 192.168.1.4:80 195.154.189.212:52436 TIME_WAIT -
udp 0 0 0.0.0.0:5060 0.0.0.0:* 3464/asterisk
udp 0 0 0.0.0.0:5160 0.0.0.0:* 3464/asterisk
udp 0 0 0.0.0.0:35206 0.0.0.0:* 3464/asterisk
udp 0 0 0.0.0.0:55735 0.0.0.0:* 31924/local
udp 0 0 0.0.0.0:4569 0.0.0.0:* 3464/asterisk

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 2764/mysqld
tcp 0 0 0.0.0.0:5038 0.0.0.0:* LISTEN 3434/asterisk
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1016/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3433/master
tcp 0 0 127.0.0.1:44756 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44757 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44762 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44758 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44761 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 192.168.1.4:22 192.168.1.102:52076 ESTABLISHED 15489/sshd: root@pt
tcp 0 0 127.0.0.1:44760 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44764 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44765 127.0.0.1:5038 ESTABLISHED 16250/php
tcp 0 0 192.168.1.4:22 163.172.201.77:51500 ESTABLISHED 16296/sshd: root [p
tcp 0 272 192.168.1.4:22 192.168.1.102:52083 ESTABLISHED 16062/sshd: root@pt
tcp 0 0 127.0.0.1:44767 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44766 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44763 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:44759 127.0.0.1:5038 TIME_WAIT -
tcp 0 0 127.0.0.1:5038 127.0.0.1:44765 ESTABLISHED 3434/asterisk
tcp6 0 0 :::80 :::* LISTEN 1013/httpd
tcp6 0 0 :::22 :::* LISTEN 1016/sshd
tcp6 0 0 :::8089 :::* LISTEN 3434/asterisk
tcp6 0 0 192.168.1.4:80 195.154.189.212:58542 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58334 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58348 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58552 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58568 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:59356 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58508 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:58964 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:59062 TIME_WAIT -
tcp6 0 0 192.168.1.4:80 195.154.189.212:59072 TIME_WAIT -
udp 0 0 0.0.0.0:40827 0.0.0.0:* 13908/local
udp 0 1280 0.0.0.0:5060 0.0.0.0:* 3434/asterisk
udp 0 0 0.0.0.0:45015 0.0.0.0:* 3434/asterisk
udp 0 0 0.0.0.0:5160 0.0.0.0:* 3434/asterisk
udp 0 0 0.0.0.0:4569 0.0.0.0:* 3434/asterisk

Может я зря паникую?
Поделитесь, кто как защищает сервер Астериск?

если FireWall внешний . как минимум закрыть эти IP
На iptables сразу их в БАН !

дальше смотреть

есть у кого-нибудь опыт использования Fail2ban?

А в интернете нет примеров?

Стоит мне позвонить на SIP транк, начинается перебор:

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

[2016-10-17 08:29:56] NOTICE[6770]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'manager'
[2016-10-17 08:29:56] NOTICE[6770]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'manager'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:30:11] NOTICE[6807]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'phonebook'
[2016-10-17 08:30:11] NOTICE[6807]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'phonebook'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:30:26] NOTICE[6830]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'phonebook'
[2016-10-17 08:30:26] NOTICE[6830]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'phonebook'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:30:38] NOTICE[6831]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'hud'
[2016-10-17 08:30:38] NOTICE[6831]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'hud'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:30:51] NOTICE[6832]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'manager'
[2016-10-17 08:30:51] NOTICE[6832]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'manager'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:31:04] NOTICE[6864]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'rickroll'
[2016-10-17 08:31:04] NOTICE[6864]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'rickroll'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:31:17] NOTICE[6888]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'rickroll'
[2016-10-17 08:31:17] NOTICE[6888]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'rickroll'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:31:30] NOTICE[6890]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'AstMonitor'
[2016-10-17 08:31:30] NOTICE[6890]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'AstMonitor'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:31:43] NOTICE[6893]: acl.c:715 ast_apply_acl: Manager User ACL: Rejecting '75.75.210.170' due to a failure to pass ACL '(BASELINE)'
[2016-10-17 08:31:43] NOTICE[6893]: manager.c:3224 authenticate: 75.75.210.170 failed to pass IP ACL as 'admin'
[2016-10-17 08:31:43] NOTICE[6893]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'admin'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:31:57] NOTICE[6899]: acl.c:715 ast_apply_acl: Manager User ACL: Rejecting '75.75.210.170' due to a failure to pass ACL '(BASELINE)'
[2016-10-17 08:31:57] NOTICE[6899]: manager.c:3224 authenticate: 75.75.210.170 failed to pass IP ACL as 'admin'
[2016-10-17 08:31:57] NOTICE[6899]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'admin'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:32:10] NOTICE[6938]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'root'
[2016-10-17 08:32:10] NOTICE[6938]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'root'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:32:23] NOTICE[6943]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'test'
[2016-10-17 08:32:23] NOTICE[6943]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'test'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:32:36] NOTICE[6988]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'portal'
[2016-10-17 08:32:36] NOTICE[6988]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'portal'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:32:49] NOTICE[7023]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'dialer'
[2016-10-17 08:32:49] NOTICE[7023]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'dialer'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:33:03] NOTICE[7055]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'crm'
[2016-10-17 08:33:03] NOTICE[7055]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'crm'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:33:18] NOTICE[7058]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'crm'
[2016-10-17 08:33:18] NOTICE[7058]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'crm'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:33:32] NOTICE[7060]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'dialer'
[2016-10-17 08:33:32] NOTICE[7060]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'dialer'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:33:46] NOTICE[7061]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'phoneglue'
[2016-10-17 08:33:46] NOTICE[7061]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'phoneglue'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:33:59] NOTICE[7063]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'zimbraConnect'
[2016-10-17 08:33:59] NOTICE[7063]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'zimbraConnect'
== Connect attempt from '75.75.210.170' unable to authenticate
[2016-10-17 08:34:12] NOTICE[7095]: manager.c:3221 authenticate: 75.75.210.170 tried to authenticate with nonexistent user 'zimbra'
[2016-10-17 08:34:12] NOTICE[7095]: manager.c:3258 authenticate: 75.75.210.170 failed to authenticate as 'zimbra'
== Connect attempt from '75.75.210.170' unable to authenticate

Что то мне подсказывпет что тут циска гдето пограничная ...

Для начала закрыть fiewall`ом порты 22, 5038, 8088.
Затем сделать bindaddr 127.0.0.1 в httpd.conf
Затем читать, читать, читать:
google: защита asterisk site:forum.asterisk.ru
google: защита asterisk
База знаний

Что-то я не понял в httpd.conf добавить строку bindaddr 127.0.0.1

При перезапуске выходит ошибка.

Bingo!!!!!

Мда...
phantom, ничего удивительного в том что вас взломали. Ведь даже базовые знания/понимание отсутствует.

virus_net писал(а):читать, читать, читать

И тогда уже начинайте с библии - "Asterisk - будущее телефонии"

asterisk.ru

Как защитить Астериск? Проблема безопасности.

Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.

Re: Как защитить Астериск? Проблема безопасности.