Страница 1 из 3

Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 10:45
Aeooe
Сегодня впервые стал жертвой злоумышленников и пострадавшим на 500 р. Испытываю смешанное ощущение любопытсва и обиды. =)
Сейчас необходимо провести анализ как мои денюшки утекли и каким образом злоумышленники получили доступ к моей телефонии. Как утвержает провайдер - звонки совершались с моей АТС.
Оговорюсь сразу - секурность АТС на зиком уровне, т.к. находится в проектируемом состоянии и не вышла в продакшн и тем не мение мы имеем.
Роутер с проброшенными rtp портами, портом 5068(сигнализация telphin), 5060 моя сигнализация.

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: extensions.conf
[extercom]
exten => _XXXXXX,1,Dial(SIP/addpac/${EXTEN},,tT)
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)
PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER: sip.conf
[defaults](!)
deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.0.0
type = friend
qualify = yes
canreinvite = no
nat=yes
rxgain=3; увеличение громкости
txgain=3; увеличение громкости
host = dynamic
callgroup = 1
pickupgroup = 1
dtmfmode=rfc2833
disallow=all
allow=ulaw
context=default

[100](defaults)
secret = простой пароль
callerid = "Andrey P"<100>
Звонки совершались на номера:
+25270611000: Somalia - Special Services
+381608013823: Serbia - Mobile Vipnet
+23221340000: SIerra Leone - Special Services
лог астериска за этот период

В итоге имеет клиентов которые коннектятся только из локалки и диалплан где, вроде, нет возможности выйти на эти номера.
Судя по ip который пробовал коннектиться - саудовская аравия, но скорее всего это прокси.
Собственно прошу помощи в анализе ситуации, а конкретнее каким образом меня взломали?

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 10:49
Aeooe
неужели звонки производились через это правило диалплана?

exten => _000X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 10:54
Vlad1983
эти логи бесполезны
смотрите что в CDR упало

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:04
Wapo
Вы бы лучше в logger.conf воткнули логгирование verbose - все информативнее.

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:04
Aeooe
Имеется только такой лог

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:05
Aeooe
Wapo писал(а):Вы бы лучше в logger.conf воткнули логгирование verbose - все информативнее.
Учимся =) не все знаем не все умеем, приму ваши рекомендации к сведению. =)

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:06
Vlad1983
"","1213","81025270611000","default","1213","SIP/31.132.168.134-0000000a","SIP/telphin-0000000b","Dial","SIP/telphin/81025270611000,,HTtr","2013-11-28 15:01:35",,"2013-11-28 15:01:43",8,0,"BUSY","DOCUMENTATION","1385650895.10",""
exten => _8X.,1,Dial(SIP/telphin/${EXTEN},,HTtr)

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:08
Aeooe
Из этого лога понятно как они прошли диалпнал, но непонятно откуда взялись пользователи 1213 и 5550000?
Andrey-desktop*CLI> sip show users
Username Secret Accountcode Def.Context ACL Forcerport
104 * default Yes Yes
100 * default Yes Yes
101 * default Yes Yes
102 * default Yes Yes
103 * default Yes Yes

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:14
ded
Вы наивный человек.
Aeooe писал(а):3)Неужели прийдется открывать порты для нормальной работы через сервер sip.telphin.com? (порты открывать не хочется - это не секурно)
Рассуждали о секьюрности, ничего в ней не понимая. Думаете поднять понимание SIP security просто распросив тут других людей? Знаете сколько ещё есть непонятного?

Re: Первый взлом - первый ощущения

Добавлено: 29 ноя 2013, 11:21
Aeooe
Ded, я думаю, что ошибки в процессе обучения - это нормальная ситуация. А обмен опытом весьма эффективная штука на определенном уровне знаний данной темы. На таком как у меня, допустим. Я не претендоваю на звание профи в этом области, не вижу повода судить меня за мои ошибки =) Я уверен что и вы родились не с тем базисом знаний которым владеете сейчас и пребывали на уровне новечка, в свое время.