VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Первый взлом - первый ощущения

Новичком считается только что прочитавший «Астериск - будущее телефонии»
http://asterisk.ru/knowledgebase/books
и пытающийся сделать большее

Модераторы: april22, Zavr2008

Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Первый взлом - первый ощущения

Сообщение Aeooe »

Сегодня впервые стал жертвой злоумышленников и пострадавшим на 500 р. Испытываю смешанное ощущение любопытсва и обиды. =)
Сейчас необходимо провести анализ как мои денюшки утекли и каким образом злоумышленники получили доступ к моей телефонии. Как утвержает провайдер - звонки совершались с моей АТС.
Оговорюсь сразу - секурность АТС на зиком уровне, т.к. находится в проектируемом состоянии и не вышла в продакшн и тем не мение мы имеем.
Роутер с проброшенными rtp портами, портом 5068(сигнализация telphin), 5060 моя сигнализация.

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: extensions.conf
[extercom]
exten => _XXXXXX,1,Dial(SIP/addpac/${EXTEN},,tT)
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: sip.conf
[defaults](!)
deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.0.0
type = friend
qualify = yes
canreinvite = no
nat=yes
rxgain=3; увеличение громкости
txgain=3; увеличение громкости
host = dynamic
callgroup = 1
pickupgroup = 1
dtmfmode=rfc2833
disallow=all
allow=ulaw
context=default

[100](defaults)
secret = простой пароль
callerid = "Andrey P"<100>
Звонки совершались на номера:
+25270611000: Somalia - Special Services
+381608013823: Serbia - Mobile Vipnet
+23221340000: SIerra Leone - Special Services
лог астериска за этот период

В итоге имеет клиентов которые коннектятся только из локалки и диалплан где, вроде, нет возможности выйти на эти номера.
Судя по ip который пробовал коннектиться - саудовская аравия, но скорее всего это прокси.
Собственно прошу помощи в анализе ситуации, а конкретнее каким образом меня взломали?
Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Re: Первый взлом - первый ощущения

Сообщение Aeooe »

неужели звонки производились через это правило диалплана?

exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
Vlad1983
Сообщения: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: Первый взлом - первый ощущения

Сообщение Vlad1983 »

эти логи бесполезны
смотрите что в CDR упало
ЛС: @rostel
Аватара пользователя
Wapo
Сообщения: 795
Зарегистрирован: 02 мар 2011, 17:53

Re: Первый взлом - первый ощущения

Сообщение Wapo »

Вы бы лучше в logger.conf воткнули логгирование verbose - все информативнее.
Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Re: Первый взлом - первый ощущения

Сообщение Aeooe »

Имеется только такой лог
Последний раз редактировалось Aeooe 29 ноя 2013, 11:08, всего редактировалось 2 раза.
Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Re: Первый взлом - первый ощущения

Сообщение Aeooe »

Wapo писал(а):Вы бы лучше в logger.conf воткнули логгирование verbose - все информативнее.
Учимся =) не все знаем не все умеем, приму ваши рекомендации к сведению. =)
Vlad1983
Сообщения: 4251
Зарегистрирован: 09 авг 2011, 11:51

Re: Первый взлом - первый ощущения

Сообщение Vlad1983 »

"","1213","81025270611000","default","1213","SIP/31.132.168.134-0000000a","SIP/telphin-0000000b","Dial","SIP/telphin/81025270611000,,HTtr","2013-11-28 15:01:35",,"2013-11-28 15:01:43",8,0,"BUSY","DOCUMENTATION","1385650895.10",""
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
ЛС: @rostel
Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Re: Первый взлом - первый ощущения

Сообщение Aeooe »

Из этого лога понятно как они прошли диалпнал, но непонятно откуда взялись пользователи 1213 и 5550000?
Andrey-desktop*CLI> sip show users
Username Secret Accountcode Def.Context ACL Forcerport
104 * default Yes Yes
100 * default Yes Yes
101 * default Yes Yes
102 * default Yes Yes
103 * default Yes Yes
ded
Сообщения: 15620
Зарегистрирован: 26 авг 2010, 19:00

Re: Первый взлом - первый ощущения

Сообщение ded »

Вы наивный человек.
Aeooe писал(а):3)Неужели прийдется открывать порты для нормальной работы через сервер sip.telphin.com? (порты открывать не хочется - это не секурно)
Рассуждали о секьюрности, ничего в ней не понимая. Думаете поднять понимание SIP security просто распросив тут других людей? Знаете сколько ещё есть непонятного?
Aeooe
Сообщения: 143
Зарегистрирован: 28 авг 2013, 15:49

Re: Первый взлом - первый ощущения

Сообщение Aeooe »

Ded, я думаю, что ошибки в процессе обучения - это нормальная ситуация. А обмен опытом весьма эффективная штука на определенном уровне знаний данной темы. На таком как у меня, допустим. Я не претендоваю на звание профи в этом области, не вижу повода судить меня за мои ошибки =) Я уверен что и вы родились не с тем базисом знаний которым владеете сейчас и пребывали на уровне новечка, в свое время.
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH