Страница 1 из 3
Идут звонки на рабочий номер с несуществующих местных номеро
Добавлено: 24 мар 2015, 12:19
iliaxxx
Столкнудся с проблеммой, переодичсики раз в 30 -40 минут стали поступать звонки на рабочей номер 2001 с номеров 2117, 2118, 5500 и тд.
Таких номеров в плане нумирации нет. В логах full я тоже ничего не нашел. Подумал что ломают, но и в логах file2ban нет упоминаний о неудачныз попутках аутентификации. Да и потры у меня закрыты
Список моих IP
iptables -I INPUT 5 -p tcp --dport 22 -j DROP
Список моих IP
iptables -I INPUT 5 -p tcp --dport 80 -j DROP
Список моих IP
iptables -I INPUT 5 -p tcp --dport 5060 -j DROP
Список моих IP
iptables -I INPUT 5 -p udp --dport 5060 -j DROP
Устал ломать голову откуда эта дрянь лезет. Может кто сталкивался?
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 12:44
ded
о неудачныз попутках надо смотреть не в логах file2ban, а в логах CDR, а также в командной строке Астериск. Вы думаете, что такие звонки могут быть только через попытку file2ban? Много методов, которыми вас могут или ломать, или просто прозванивать по SIP URI.
SIP безопасность, это не шутка.
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 13:05
Vlad1983
изнутри вашей сети
поймал кто-то вируса
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 13:14
ded
Могли подломать AMI, инициировать звонки через команды в порт 5038
Смотреть
Код: Выделить всё
# netstat -nlp |grep asterisk
tcp 0 0 0.0.0.0:5060 0.0.0.0:* LISTEN 4394/asterisk
tcp 0 0 0.0.0.0:5061 0.0.0.0:* LISTEN 4394/asterisk
tcp 0 0 127.0.0.1:5038 0.0.0.0:* LISTEN 4394/asterisk
udp 0 0 0.0.0.0:5000 0.0.0.0:* 4394/asterisk
udp 0 0 0.0.0.0:4520 0.0.0.0:* 4394/asterisk
udp 0 0 0.0.0.0:5060 0.0.0.0:* 4394/asterisk
udp 0 0 0.0.0.0:4569 0.0.0.0:* 4394/asterisk
Вот это важно:
tcp 0 0 127.0.0.1:5038
если там
tcp 0 0 0.0.0.0:5038 то вы открыты.
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 14:51
iliaxxx
Да, Вы были правы :
Код: Выделить всё
[root@localhost ~]# netstat -nlp |grep asterisk
tcp 0 0 0.0.0.0:5038 0.0.0.0:* LISTEN 2248/asterisk
udp 0 0 0.0.0.0:5060 0.0.0.0:* 2248/asterisk
udp 0 0 0.0.0.0:4569 0.0.0.0:* 2248/asterisk
unix 2 [ ACC ] STREAM LISTENING 13573 2248/asterisk /var/run/asterisk/asterisk.ctl
Сделал так:
Код: Выделить всё
iptables -I INPUT 1 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 2 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 3 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 4 -s Мой_IP -p tcp --dport 5038 -j ACCEPT
iptables -I INPUT 5 -p tcp --dport 5038 -j DROP
Посмотрим, надеюсь поможет
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 15:05
iliaxxx
Хм, после этого у меня отвалилась web морда, больше незаходит, это может быть связано с закрытием порта?
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 15:15
iliaxxx
Все разобрался, добавил 2 проброса в iptables: Локальный ip etho и 127.0.0.1, заработал интерфейс.
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 15:26
ded
Вас вскрыли через дырявый-передырявый ARI (recordings)
изменили доступ к AMI на 0.0.0.0 и начали подбирать вызовы в Занзибар.
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 15:38
iliaxxx
Сейчас то что я сдела закроет эту дыру?
Re: Идут звонки на рабочий номер с несуществующих местных но
Добавлено: 24 мар 2015, 16:11
ded
Что называть дырой?
Уязвимость в ARI - нет, возможность доступа через эту уязвимость - да.