Всем хорошего настроения! Столкнулся с успешной попыткой взлома астериска для звонков на платные международные службы.
Суть такова. Версия астериска - 1.4.21
Есть контекст incoming, в который включены все входящие экстеншены из города. На тот же контекст ввиду аппаратных нюансов приходят звонки с железной АТС в город, я понимаю, что уже потенциальная дыра. Один из экстеншнов перекидывает в другой контекст и имеет голосовое меню для донабора внутренних номеров.
Так вот судя по логам, кто-то как-то умудрялся юзать local channels и кидать себя в другой контекст через с набором международного номера типа Dial (Local/810......@outgoing) хотя local channels у меня нигде не используются. Я пока все залочил, но мне интересно, как это можно сделать и как с этим бороться.
Взломали asterisk
Re: Взломали asterisk
Сначала ищем и читаем, потом постим.
http://forum.asterisk.ru/viewtopic.php?f=3&t=322
http://forum.asterisk.ru/viewtopic.php?f=3&t=322
Re: Взломали asterisk
switch, если возможно - корректность мыслеизвержения. Мы ж не на привозе?
К слову, почти все инсталляции нашими руками наших клиентов имеют выход в интернет, прямо или за НАТ - особой роли не играет, ибо порт 5060 находится сканерами легко, прмой он или НАТится.
Вопрос конфигурации firewall и других пряников, типа sip policy - политики безопасности. И много лет живут и работают.
К слову, почти все инсталляции нашими руками наших клиентов имеют выход в интернет, прямо или за НАТ - особой роли не играет, ибо порт 5060 находится сканерами легко, прмой он или НАТится.
Вопрос конфигурации firewall и других пряников, типа sip policy - политики безопасности. И много лет живут и работают.
Re: Взломали asterisk
Он SIP-ом торчит наружу, т.к. ест необходимость подключать клиентов извне, в этом плане там все ок. Ломанули как-то подругому ибо сорс номер мобильный, а не внутренний
Re: Взломали asterisk
В логах CDR вот что пишет:
"","8916*******","sw-19-BUSY","out","8916*******","Local/810375*********@outgoing-f9f1,2","SIP/gate-120709b0","Dial","SIP/gate/810375*********1|180|tTr","2012-01-13 06:53:55","2012-01-13 06:53:59","2012-01-13 07:00:36",401,397,"ANSWERED","DOCUMENTATION","1326437635.3749",""
тоесть в графе назначения код отбоя, а в графе channel появилось Local/
Я не могу понять в каком месте поломали. Наружу торчит только SIP
Скорее всего позвонили на городской номер, приходящий на asterisk и что-то донабрали, т.к. в логах есть попытки позвонить с этого номера на разные экстеншны в контексте incoming
"","8916*******","sw-19-BUSY","out","8916*******","Local/810375*********@outgoing-f9f1,2","SIP/gate-120709b0","Dial","SIP/gate/810375*********1|180|tTr","2012-01-13 06:53:55","2012-01-13 06:53:59","2012-01-13 07:00:36",401,397,"ANSWERED","DOCUMENTATION","1326437635.3749",""
тоесть в графе назначения код отбоя, а в графе channel появилось Local/
Я не могу понять в каком месте поломали. Наружу торчит только SIP
Скорее всего позвонили на городской номер, приходящий на asterisk и что-то донабрали, т.к. в логах есть попытки позвонить с этого номера на разные экстеншны в контексте incoming
Последний раз редактировалось tim77 09 фев 2012, 17:57, всего редактировалось 3 раза.
Re: Взломали asterisk
Рассчитываете на подробный анализ и техучёбу?tim77 писал(а):Я не могу понять в каком месте поломали.
Этого хватает.tim77 писал(а):Наружу торчит только SIP
Re: Взломали asterisk
В логах SIP ничего нет, а логах CDR есть то, что написал. Из этого я делаю вывод, что ломанули не через sip.
Я не прошу делать анализ, и не жду ответы в стиле Капитана Очевидность, мол раз торчит sip наружу нефиг тут вообще спрашивать.
Может кто-то сталкивался с этим или просто знает механизмы как это можно сделать через DTMF или как-то еще.
Я не прошу делать анализ, и не жду ответы в стиле Капитана Очевидность, мол раз торчит sip наружу нефиг тут вообще спрашивать.
Может кто-то сталкивался с этим или просто знает механизмы как это можно сделать через DTMF или как-то еще.
Re: Взломали asterisk
Хакеры инструкций не оставляют.
Логи можно чистить.
Способов так много, что пока что никто их особенно не систематизаровал. Самые парадоксальные - взлом конечных девайсов - безобидных мягоньких Zyxel, Dlink, etc. Где можно прочесть UID, secret, sip-proxy IP address и звони скока хошь!
Логи можно чистить.
Способов так много, что пока что никто их особенно не систематизаровал. Самые парадоксальные - взлом конечных девайсов - безобидных мягоньких Zyxel, Dlink, etc. Где можно прочесть UID, secret, sip-proxy IP address и звони скока хошь!
Re: Взломали asterisk
Я ценю Ваши попытки помочь, но Вы говорите абстрактные и очевидные вещи. Еще раз просто хочу обратить внимание на несколько пунктов:
1. В интернет торчит только 1 астериск с sip
2. Все девайсы, потенциально подверженные взлому находятся внутри сети за файрволом
3. Логи хранятся в SQL базе на другом сервере и для астериска прописан доступ только insert без удаления, да к тому же хакерам, которые пытаются воспользоваться уязвимостью думаю нет дела до потирки логов, т.к. они пытаются максимально быстро и по максимуму срубить бабок пока не прикрыли.
4. Если Вы еще раз взгляните на строчку из лога
"","8916*******","sw-19-BUSY","out","8916*******","Local/810375*********@outgoing-f9f1,2","SIP/gate-120709b0","Dial","SIP/gate/810375*********1|180|tTr","2012-01-13 06:53:55","2012-01-13 06:53:59","2012-01-13 07:00:36",401,397,"ANSWERED","DOCUMENTATION","1326437635.3749",""
то обратите внимание на то, что используется канал Local. И вот я не пойму, каким образом он подымается, т.к. нигде ни в одном контексте он не используется - Вот в этом вопрос.
Если нет конкретных предложений, то я более вас мучить не буду.
1. В интернет торчит только 1 астериск с sip
2. Все девайсы, потенциально подверженные взлому находятся внутри сети за файрволом
3. Логи хранятся в SQL базе на другом сервере и для астериска прописан доступ только insert без удаления, да к тому же хакерам, которые пытаются воспользоваться уязвимостью думаю нет дела до потирки логов, т.к. они пытаются максимально быстро и по максимуму срубить бабок пока не прикрыли.
4. Если Вы еще раз взгляните на строчку из лога
"","8916*******","sw-19-BUSY","out","8916*******","Local/810375*********@outgoing-f9f1,2","SIP/gate-120709b0","Dial","SIP/gate/810375*********1|180|tTr","2012-01-13 06:53:55","2012-01-13 06:53:59","2012-01-13 07:00:36",401,397,"ANSWERED","DOCUMENTATION","1326437635.3749",""
то обратите внимание на то, что используется канал Local. И вот я не пойму, каким образом он подымается, т.к. нигде ни в одном контексте он не используется - Вот в этом вопрос.
Если нет конкретных предложений, то я более вас мучить не буду.
Re: Взломали asterisk
CLI> originate Local/1213@outgoing extention 343435@outgoing
баста
баста
Линия24 - Системы Массового Телефонного Обслуживания
