Идут звонки на рабочий номер с несуществующих местных номеро

[iliaxxx]

Столкнудся с проблеммой, переодичсики раз в 30 -40 минут стали поступать звонки на рабочей номер 2001 с номеров 2117, 2118, 5500 и тд.
Таких номеров в плане нумирации нет. В логах full я тоже ничего не нашел. Подумал что ломают, но и в логах file2ban нет упоминаний о неудачныз попутках аутентификации. Да и потры у меня закрыты
Список моих IP
iptables -I INPUT 5 -p tcp --dport 22 -j DROP
Список моих IP
iptables -I INPUT 5 -p tcp --dport 80 -j DROP
Список моих IP
iptables -I INPUT 5 -p tcp --dport 5060 -j DROP
Список моих IP
iptables -I INPUT 5 -p udp --dport 5060 -j DROP
Устал ломать голову откуда эта дрянь лезет. Может кто сталкивался?

[ded]

о неудачныз попутках надо смотреть не в логах file2ban, а в логах CDR, а также в командной строке Астериск. Вы думаете, что такие звонки могут быть только через попытку file2ban? Много методов, которыми вас могут или ломать, или просто прозванивать по SIP URI.
SIP безопасность, это не шутка.

[Vlad1983]

изнутри вашей сети
поймал кто-то вируса

[ded]

Могли подломать AMI, инициировать звонки через команды в порт 5038
Смотреть

Код: Выделить всё

# netstat -nlp |grep asterisk
tcp        0      0 0.0.0.0:5060                0.0.0.0:*                   LISTEN      4394/asterisk       
tcp        0      0 0.0.0.0:5061                0.0.0.0:*                   LISTEN      4394/asterisk       
tcp        0      0 127.0.0.1:5038              0.0.0.0:*                   LISTEN      4394/asterisk       
udp        0      0 0.0.0.0:5000                0.0.0.0:*                               4394/asterisk       
udp        0      0 0.0.0.0:4520                0.0.0.0:*                               4394/asterisk       
udp        0      0 0.0.0.0:5060                0.0.0.0:*                               4394/asterisk       
udp        0      0 0.0.0.0:4569                0.0.0.0:*                               4394/asterisk 

Вот это важно:
tcp 0 0 127.0.0.1:5038
если там
tcp 0 0 0.0.0.0:5038 то вы открыты.

[iliaxxx]

Да, Вы были правы :

Код: Выделить всё

[root@localhost ~]# netstat -nlp |grep asterisk
tcp        0      0 0.0.0.0:5038                0.0.0.0:*                   LISTEN      2248/asterisk       
udp        0      0 0.0.0.0:5060                0.0.0.0:*                               2248/asterisk       
udp        0      0 0.0.0.0:4569                0.0.0.0:*                               2248/asterisk       
unix  2      [ ACC ]     STREAM     LISTENING     13573  2248/asterisk       /var/run/asterisk/asterisk.ctl

Сделал так:

Код: Выделить всё

iptables -I INPUT 1 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 2 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 3 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 4 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 5 -p tcp --dport 5038 -j DROP

Посмотрим, надеюсь поможет

[iliaxxx]

Хм, после этого у меня отвалилась web морда, больше незаходит, это может быть связано с закрытием порта?

[iliaxxx]

Все разобрался, добавил 2 проброса в iptables: Локальный ip etho и 127.0.0.1, заработал интерфейс.

[ded]

Вас вскрыли через дырявый-передырявый ARI (recordings)
изменили доступ к AMI на 0.0.0.0 и начали подбирать вызовы в Занзибар.

[iliaxxx]

Сейчас то что я сдела закроет эту дыру?

[ded]

Что называть дырой?
Уязвимость в ARI - нет, возможность доступа через эту уязвимость - да.