Взломали Asterisk. Как они это делают?

[proxxs]

Всем привет!
Стоит тестовый Астериск, настроен iptables на работу с TCP SSH и UDP 5060, все остальное DROP. fail2ban отправляет в бан на месяц после одного неверного ввода пароля по SSH или учетки Астериск.
В sip.conf всего одна учетка, сложный пароль из 10 знаков, alwaysauthreject=yes, allowguest=no. На SSH такой же сложный пароль.
Вроде все хорошо было, пока в один прекрасный день мой телефон не прорвало шквалом звонков (все вызовы зарулил на свой мобильный, чтобы сразу увидеть подобные взломы).
Поменял пароли на 20 символов - через час снова шквал звонков.

Начал гуглить, поставил rkhunter, просканировал - все ок. Закрыл PermitRootLogin no в sshd_config.
В /etc/passwd установил root0:0:root:/root:/sbin/nologin.
Снова поменял пароли - безрезультатно, шквал звонков.

Плюнул, отключил fail2ban и полностью закрылся iptables:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- МОЯ_БЕЛАЯ_СЕТЬ/24 anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere МОЯ_БЕЛАЯ_СЕТЬ/24
DROP all -- anywhere anywhere

Звонки прекратились, а в дампе стал замечать постоянные User-Agent: friendly-scanner:
OPTIONS 100@1.1.1.1 100@1.1.1.1 1 185.53.88.105:5070

Ну Вот как???? Почему их пропускает файрвол?
И как меня взломали? Почему пароли любой сложности не помогают вообще?

[Kroteg]

Так может 5060 только для софтсвича открыть?

[Ferrum]

Нужно больше инфы:
И не факт что сломали астериск, ваши пароли видят.

[ded]

Все описанные выше мероприятия - по принципу "волшебный порошок": посыпал - не помогает!
Анализировать надо, логи изучать, а не пароли удлинять.

[siti]

Сканеры в дампе так и будут постоянно, пока не смените порт на нестандартный.
Есть решения как блокировать сканеры по User-Agent, но это не панацея, т.к. много сканеров с нестандартными именами или имитируют телефоны. Просто через ACCEPT all -- МОЯ_БЕЛАЯ_СЕТЬ/24 anywhere DROP all -- anywhere anywhere они не убиваются.

Как только смените порт 5060 на другой, то актвность ботов снизится до 0. Проверено лично. Если конечно вас не будут ломать целенаправленно.

[Zavr2008]

Я лично на Микротике решаю эти вопросы через ловушку и L7 фильтр)
Делаем элементарное - там просто на UDP/5060 на внешке от всего мира вешаем ловушку и отправляем всех прямоходом в бан по Src IP.
Сканеры они же примитивные - идут по нарастанию портов, проброс порта делаем с порта выше)
После 5060 они сразу попадают в залёт и уже ничего не смогут сделать.

Плюс настраиваем L7 фильтр для умельцев кто целенаправленно долбит именно Вас.

[Ferrum]

В чём плюс ловушки на Микротике перед fail2ban, можете скинуть часть конфига от Микротика который затрагивает эту ловушку ?

[Zavr2008]

в том, что стоит ДО астера, соотвественно нагрузка на него не падает - а шум сканеров бывает довольно большим.

Нужно посещать AsterConf - там о том как ее делать неоднократно рассказывается и показывается каждый год..

[proxxs]

Все это хорошо, конечно, - сменить порты, настроить антиспам-фильтры, но это ведь не панацея. Хочется понять КАК они это делают?!!
Открыл вчера вечером UDP SIP, RTP. SSH закрыл. Еще раз сменил IP на SIP-учетке и стал ждать. В час ночи прилетел звонок. Вот что увидел в логах var/log/asterisk/messages:
[2019-03-16 01:38:32] VERBOSE[1487][C-00000330] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] pbx.c: Executing [9011441792959946@phone:1] Dial("SIP/1000-00000004", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:38:32] VERBOSE[1487][C-00000331] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] pbx.c: Executing [901148717079003@phone:1] Dial("SIP/1000-00000005", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:38:32] VERBOSE[24877][C-00000330] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:38:32] VERBOSE[24878][C-00000331] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:38:33] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 is making progress passing it to SIP/1000-00000004
[2019-03-16 01:38:35] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is making progress passing it to SIP/1000-00000005
[2019-03-16 01:38:36] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is ringing
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 is ringing
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] app_dial.c: SIP/beeline-00000006 answered SIP/1000-00000004
[2019-03-16 01:38:39] VERBOSE[24879][C-00000330] bridge_channel.c: Channel SIP/beeline-00000006 joined 'simple_bridge' basic-bridge <f8d1556f-2f2f-41a1-90ba-5447719d0088>
[2019-03-16 01:38:39] VERBOSE[24877][C-00000330] bridge_channel.c: Channel SIP/1000-00000004 joined 'simple_bridge' basic-bridge <f8d1556f-2f2f-41a1-90ba-5447719d0088>
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 is ringing
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] app_dial.c: SIP/beeline-00000007 answered SIP/1000-00000005
[2019-03-16 01:38:52] VERBOSE[24880][C-00000331] bridge_channel.c: Channel SIP/beeline-00000007 joined 'simple_bridge' basic-bridge <64939e84-3efc-4b75-b7c6-7ee0457ceb1a>
[2019-03-16 01:38:52] VERBOSE[24878][C-00000331] bridge_channel.c: Channel SIP/1000-00000005 joined 'simple_bridge' basic-bridge <64939e84-3efc-4b75-b7c6-7ee0457ceb1a>
[2019-03-16 01:39:04] VERBOSE[1487][C-00000335] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] pbx.c: Executing [0048717079003@phone:1] Dial("SIP/1000-00000008", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:39:04] VERBOSE[1487][C-00000336] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] pbx.c: Executing [00441792959946@phone:1] Dial("SIP/1000-00000009", "SIP/beeline/мой_номер,,Tt") in new stack
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] netsock2.c: Using SIP RTP CoS mark 5
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: Called SIP/beeline/мой_номер
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: SIP/beeline-0000000b redirecting info has changed, passing it to SIP/1000-00000009
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: SIP/beeline-0000000a redirecting info has changed, passing it to SIP/1000-00000008
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: SIP/beeline-0000000b is busy
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: SIP/beeline-0000000a is busy
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] app_dial.c: Everyone is busy/congested at this time (1:1/0/0)
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] app_dial.c: Everyone is busy/congested at this time (1:1/0/0)
[2019-03-16 01:39:04] VERBOSE[24881][C-00000335] pbx.c: Auto fallthrough, channel 'SIP/1000-00000008' status is 'BUSY'
[2019-03-16 01:39:04] VERBOSE[24882][C-00000336] pbx.c: Auto fallthrough, channel 'SIP/1000-00000009' status is 'BUSY'
Регистраций с 1000 в логе нет!
var/log/secure и var/log/messages пустые.

[virus_net]

Это обычный сканер, который прощупывает порт 5060 и если отвечают то шлет INVITE на попытку прозвона.
В вашем случае на 0048717079003. Вот тут мы таких собираем и записываем в базу плохишей

Код: Выделить всё

[scaners]
exten => s,1,NoOp(Call from (${CHANNEL(recvip)}:0) to extension '${DIALED_EXTEN}' invalid)
exten => s,n,NoOp(recvip: ${CHANNEL(recvip)})
exten => s,n,NoOp(peerip: ${CHANNEL(peerip)})
exten => s,n,NoOp(URI: ${SIPURI})
exten => s,n,NoOp(Via: ${SIP_HEADER(Via)})
exten => s,n,NoOp(CONTACT: ${SIP_HEADER(CONTACT)})
exten => s,n,NoOp(CID: ${CALLERID(all)})
exten => s,n,NoOp(Remote-Party-ID: ${SIP_HEADER(Remote-Party-ID)})
exten => s,n,NoOp(User agent: ${SIPUSERAGENT})
exten => s,n,GotoIf($[${LEN(${DIALED_EXTEN})} > 11]?api:exit)
exten => s,n(api),Set(api=${SHELL(/usr/local/bin/php /usr/local/sbin/scripts/asterisk/frod_client.php ${DIALED_EXTEN} ${CHANNEL(recvip)})})
exten => s,n,NoOp(API RESULT: ${api})
exten => s,n(exit),Hangup(21)

Вот тут я рассказывал про одну из утилит, которыми пользуются эти люди. Вот вам invite генератор.
Ну и т.п.