Взлом Asterisk/Elastix

[Рамиль]

Приветствую всех присутствующих! всем!
Пришел работать в новую компанию- тут стоит Elastix и переодически пытается позвонить сам за границу. Звонки за границу отключены провайдером. Некоторое время был открыт доступ к АТС извне по ssh для рута с простым паролем (думаю в это время и скомпрометировали систему) Сейчас пароль сложнее и доступ только из локалки.
Вот скрины процессов из терминала(мне так удобнее пока).
Я думаю процессы эти запускаются или скриптом из bash или из планировщика Asterisk'а.
Теперь собственно вопрос: Как мне найти того кто инициирует эти звонки?

Будет здорово если в итоге нашей с Вами беседы получится что то типа howto для подобных случаев...

[awsswa]

Лучший вариант: снести поставить по новой
(вполне возможно скрытый доступ)
Backup конфигурации телефонной части и восстановление из архива

По логам - что делает звонок через AMI - порт 5038 - для начала просто сменить пароли в manager.conf (из вебки)
или крутится скрипт на php который файлики для авто звонка в каталог кидает (это еще хуже, значит имеют скрытый shell )

[virus_net]

Лучший вариант: снести поставить по новой

+1

[ded]

+2
Именно потому, что Рамиль не знает с какого конца решать эту задачу. Обсуждение её - пустое, так как нет единого шаблона взлома, и, соответственно, нет универсальных методов обнаружения и устранения. howto для подобных случаев устареет ровно тогда, когда будет написано.
Без обид, но найти того, кто инициирует эти звонки будет здорово только только Вам, Рамиль, таким образом Вы сразу зарабатываете бонусы в новой компании. Вот что получится.

[vlego]

(думаю в это время и скомпрометировали систему) Сейчас пароль сложнее и доступ только из локалки.

Думаю,Вы несколько однобоко смотрите на проблему...-только со стороны сети. Скорее всего Вы имеете дело не со взломом извне, а с наследием для этой организации, от Вашего предшественника. Своеобразным подарком.

короткий пример.
Управление наборами, вполне может происходить и через голосовую связь, при соответствующей доработке проекта... Проблема может быть где угодно в т.ч. релизация в самой os linux и управление *-ком. Рассуждать и фантазировать дальше - дело пустое.

Победить ситуацию не так сложно.. вот один из вариантов (короте'нько)-

1) заходите в FreePBX -> Bulk Extensions и (экспорт)сохраняете все номера и т.д. затем,этот файл удобнее всего править, просматривать в libreOffice и сохранить осознанно исправленное.

2) поднимаете параллельно виртуалку и ставите астер любой версии - был elastix - значит релиз его и ставите, далее - настраиваете свой астериск заново, с учетом натроек работающего. Можно не всё, а только основное, чтобы пользователи не визжали.
Никаких Backup-Restore со старого !

3) внимательно просматриваете и правите файлик см п1 и сохраняете.

4) Импортируете этот файлик на свой новый астериск и т.д. и т.п., а как заработает Ваш вариант - старый гасите, а ip старого ставите на новый...

Копаться в старом - нет смысла. Тем более, если наборы во вне прикрыты провайдером.. - ну и пусть старается набирает.

Для нового * -ка
Порты с внешнего мира - закрыть все. Использовать только один порт для OpenVPN(настроить).

Примерно так. Кстати - не так долго как кажется.

[Vlad1983]

достаточно найти родителя процессов asterisk -rx ...
это стандартными средствами OC делается довольно быстро

чтоб подольше висели добавить экстеншен _810.,1,Wait(800) во from-internal

[ded]

добавить экстеншен _810.,1,Wait(800) во from-internal

Г-г-г
Завешивают систему сильно. Мы делаем
exten => _810.,1,Answer
exten => _810.,n,Echo()

[Рамиль]

Да! Легче снести и настроить заново и грамотнее. Но можно попробовать разобраться во всем (получив не плохой опыт). АТС не входит в критическую инфраструктуру моей новой фирмы и поэтому все сотрудники могут без телефонии поработать.

+2
Именно потому, что Рамиль не знает с какого конца решать эту задачу. Обсуждение её - пустое, так как нет единого шаблона взлома, и, соответственно, нет универсальных методов обнаружения и устранения. howto для подобных случаев устареет ровно тогда, когда будет написано.
Без обид, но найти того, кто инициирует эти звонки будет здорово только только Вам, Рамиль, таким образом Вы сразу зарабатываете бонусы в новой компании. Вот что получится.

Я предлагаю сделать инструкцию конкретно к моему случаю т.к. есть вероятность(теоретически) что она всплывет у кого то еще. И если он найдет эту инструкцию и она ему поможет- будет здорово, я думаю.
Это по поводу полезности.

По существу:
Нашел родительский процесс и им оказался httpd. Грохнул его- звонков нет. Походу это последний случай от awsswa:

Лучший вариант: снести поставить по новой
(вполне возможно скрытый доступ)
Backup конфигурации телефонной части и восстановление из архива

По логам - что делает звонок через AMI - порт 5038 - для начала просто сменить пароли в manager.conf (из вебки)
или крутится скрипт на php который файлики для авто звонка в каталог кидает (это еще хуже, значит имеют скрытый shell )

Если это так, то: Как дальше сузить место для поиска этого "злого" кода? Как найти скрипт этот или что то еще?
Это основной вопрос.
Далее:
Тем кому кажется что я тут чушь пишу и занимаюсь фигней (вместо того что бы в кратчайшие сроки развернуть всю АТС заново), попрошу воздержаться от комментариев.
Спасибо!

[Vlad1983]

Код: Выделить всё

grep "originate" -rn /var/www/
grep "asterisk" -rn /var/www/ | grep "rx"

[node]

гидота которая втихоря звонит прописывает себя в /etc/asterisk/extensions_custom.conf там и инструкции не попадаться в цдр итд.. это вероятно результат взлома через дырявую вебморду. лично я рекомендовал бы закрыть файл пока на запись до выяснения. также хотя бы htaccess ом закрыть доступ в админку для всех кроме нужных ip. ну iptabless конешно подкрутить.