Страница 1 из 3

Взломали астериск

Добавлено: 22 дек 2015, 18:40
xFree
не могу найти факт взлома, прошу помощи-совета

ситуация такая

первый удачный звонок взломщиков произошел 12 ноябрь 2015г. 04:56:17 в Латвию

в сам звонок в CDR выглядит так:

Код: Выделить всё

"1009","8103716606045x","internal1",""""" <1009>","SIP/1009-0000000f","SIP/mega-00000010","Dial","SIP/mega/8103716606045x,120,mtTh","2015-11-12 04:56:17","2015-11-12 04:56:17","2015-11-12 04:56:30",12,12,"ANSWERED","DOCUMENTATION","1447293377.23",""""
при успешном взломе в /var/log/asterisk/security должна появиться строка вроде:

Код: Выделить всё

[Oct  4 15:20:30] SECURITY[10101] res_security_log.c: SecurityEvent="[b]SuccessfulAuth[/b]",EventTV="2015-10-04T15:20:30.664+0300",Severity="Informational",Service="SIP",EventVersion="1",AccountID="1006",SessionID="0x7f42e402ff08",LocalAddress="IPV4/UDP/192.168.3.12/6060",RemoteAddress="IPV4/UDP/IP_ADDRES_Attacker/6060",UsingPassword="1"
ни 11, ни 12 ноября от номера 1009 успешных авторизаций небыло

Код: Выделить всё

 asterisk # grep 1009 security | grep SuccessfulAuth | grep 'Nov 12'
    (пусто)   	


я вижу лишь попытки подбора пароля InvalidPassword, успешных попыток взлома не вижу:

Код: Выделить всё

asterisk # grep 1009 security | grep 'Nov 12' | more
    [Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:53:24.746+0300",Severity="Informational",Ser vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86"
    [Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="[b]InvalidPassword[/b]",EventTV="2015-11-12T04:53:24.815+0300",Severity="Error",Service="SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86",ReceivedChallenge="6a7fcf86",ReceivedHash="139f3eca328eca0d6edfec387da14767"    ...   	



как я понимаю им как-то в итоге удалось звонить без авторизации, вот безуспешные попытки подбора пароля:

Код: Выделить всё

[Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:56:13.043+0300",Severity="Informational",Ser
vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.x
34/9273",Challenge="1ecd6ad3"
[Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-11-12T04:56:13.200+0300",Severity="Error",Service="
SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.13x/927
3",Challenge="1ecd6ad3",ReceivedChallenge="1ecd6ad3",ReceivedHash="41760266ac5ba7706bf407bc7f029046"   	

и почти сразу пошел звонок на Латвию на телефон 3716606045x:

Код: Выделить всё

[Nov 12 04:56:33] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:33.152+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803d1c8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"
[Nov 12 04:56:34] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:34.804+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"
[Nov 12 04:56:35] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:35.569+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"   	
в тоже время сыпались уведомления о неверном пароле, хотя звонок прошел:

Код: Выделить всё

 [Nov 12 04:54:52] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '83.244.51.13x:26558' - Wrong password
    [Nov 12 04:55:45] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '85.114.130.14x:9627' - Wrong password
    [Nov 12 04:58:53] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '83.244.51.13x:26558' - Wrong password
    [Nov 12 05:03:45] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '85.114.130.14x:9627' - Wrong password   



куда копать товарищи?

Re: Взломали астериск

Добавлено: 22 дек 2015, 20:02
awsswa
Сюрприз
Звонить можно и без авторизации

PS Закрывайте вообще всё firewall с внешки - все порты
Если есть транки с регистрацией - проброс портов 5060 не нужен
если транки без регистрации или регистрируются на вас клиенты с внешки - пробрасывать только с их диапазонов
если клиенты динамические - регистрацию через VPN

во FreePBX если не обновляли модули дырок вагон

Re: Взломали астериск

Добавлено: 22 дек 2015, 20:11
ded
Товарищь, регистрация и инвайт - это разные вещи. Подбирают пароли автоматы, ничего удивительного, если автомат подбора продолжал перебирать - не остановили, скорее всего. Ваш вопрос не публичный, методы взлома и анализа - это закрытая тема.

Код: Выделить всё

failed for '83.244.51.13x:26558'
failed for '85.114.130.14x:9627
это крестиками Вы закрыли ИП адреса взломщиков? Трогательная забота. Адрес 83.244.51.134 - Палестина, бедных арабов взламывают чтобы использовать сервера как аэродром подскока - якобы они, а злодеи то совсем другие.

Исследовать надо не security log, а http access log & error log.

Re: Взломали астериск

Добавлено: 24 дек 2015, 02:57
whoim
В котором будут обращения к recordings/, где достаточно подобрать пароль голосовой почты юзера чтобы залить шелл.

Re: Взломали астериск

Добавлено: 05 янв 2016, 04:52
ChillinXXX
Не так давно в офисе организовал IPATC на elastix, судя по логам в течении дня сыпятся коннекты с разных ID, при этом IP adress "абонента" в течении одного дня не изменный (благо пока wrong password им :D ), раз уж тема открыта хотелось бы поинтересоваться у более опытных коллег, возможно ли средствами Asterisk(elastix) настроить защиту от такого рода взломов методом бана IP адреса в случае ну к примеру 10 не удачных попыток залогиниться подряд.

Re: Взломали астериск

Добавлено: 05 янв 2016, 09:48
virus_net

Re: Взломали астериск

Добавлено: 05 янв 2016, 11:50
Zavr2008
fail2ban конечно хорош, но и он не всё может отсеять..
Эластикс без знаний в инет не стоит выставлять, ИМХО!
Если нет удаленных сотрудников, порт UDP/5060 не стоит светить всему миру, работает и без проброса из NAT..
Если у прова - доступ по IP (insecure=port,invite) - пробрасываем порт 5060 ТОЛЬКО ДЛЯ IP ПРОВА.
Однако поломать могут и не по SIP UDP, могут и по AMI и по веб-морде эластикса. В последнем случае вообще лучше сносить и ставить заново..

Re: Взломали астериск

Добавлено: 05 янв 2016, 13:35
ChillinXXX
F2B обязательно изучу спасибо за совет, пока только "alwaysauthreject=yes в sip.conf. Это предотвратит возможный перебор существующих пользователей." воткнул.

В данный момент шаблоны исходящих вызовов настроил только на город и 89XXXXXXXXX так что если взломают, много не наговорят. + у прова минус 500р максимум.
Если по хорошему от провайдера вообще лучше trunk завести насколько я понимаю.
АТС пока на тесте, подумываю SIP extentions нестандартный порт настроить, Elstix за нат, так что морду маловероятно взломать.

Если есть еще что дельного почитать вы ткните что гуглить ;) обязательно почитаю.

Re: Взломали астериск

Добавлено: 05 янв 2016, 14:31
Zavr2008
Если по хорошему от провайдера вообще лучше trunk завести насколько я понимаю.
Форвард порта UDP/5060 сделайте только для IP провайдера.
Ну и directmedia=no конечно

Для экстенов внутренних ОБЯЗАТЕЛЬНО пропишите deny/permit списки!
Ну и alwaysauthreject=yes конечно в тему!!

Re: Взломали астериск

Добавлено: 05 янв 2016, 14:48
ded
ChillinXXX писал(а):В данный момент шаблоны исходящих вызовов настроил только на город и 89XXXXXXXXX так что если взломают, много не наговорят.
Наивно думать, что 89XXXXXXXXX вас как-то спасает. Если крякнут как следует - сами сольют по своим шаблонам, лишь бы на стороне оператора пропустили.
ChillinXXX писал(а): + у прова минус 500р максимум..
лучше -1р максимум, и срабатывание уведомления на эл. почту при остатке меньше 10 р.