Взломали астериск
Добавлено: 22 дек 2015, 18:40
не могу найти факт взлома, прошу помощи-совета
ситуация такая
первый удачный звонок взломщиков произошел 12 ноябрь 2015г. 04:56:17 в Латвию
в сам звонок в CDR выглядит так:
при успешном взломе в /var/log/asterisk/security должна появиться строка вроде:
ни 11, ни 12 ноября от номера 1009 успешных авторизаций небыло
я вижу лишь попытки подбора пароля InvalidPassword, успешных попыток взлома не вижу:
как я понимаю им как-то в итоге удалось звонить без авторизации, вот безуспешные попытки подбора пароля:
и почти сразу пошел звонок на Латвию на телефон 3716606045x:
в тоже время сыпались уведомления о неверном пароле, хотя звонок прошел:
куда копать товарищи?
ситуация такая
первый удачный звонок взломщиков произошел 12 ноябрь 2015г. 04:56:17 в Латвию
в сам звонок в CDR выглядит так:
Код: Выделить всё
"1009","8103716606045x","internal1",""""" <1009>","SIP/1009-0000000f","SIP/mega-00000010","Dial","SIP/mega/8103716606045x,120,mtTh","2015-11-12 04:56:17","2015-11-12 04:56:17","2015-11-12 04:56:30",12,12,"ANSWERED","DOCUMENTATION","1447293377.23",""""
Код: Выделить всё
[Oct 4 15:20:30] SECURITY[10101] res_security_log.c: SecurityEvent="[b]SuccessfulAuth[/b]",EventTV="2015-10-04T15:20:30.664+0300",Severity="Informational",Service="SIP",EventVersion="1",AccountID="1006",SessionID="0x7f42e402ff08",LocalAddress="IPV4/UDP/192.168.3.12/6060",RemoteAddress="IPV4/UDP/IP_ADDRES_Attacker/6060",UsingPassword="1"
Код: Выделить всё
asterisk # grep 1009 security | grep SuccessfulAuth | grep 'Nov 12'
(пусто)
я вижу лишь попытки подбора пароля InvalidPassword, успешных попыток взлома не вижу:
Код: Выделить всё
asterisk # grep 1009 security | grep 'Nov 12' | more
[Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:53:24.746+0300",Severity="Informational",Ser vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86"
[Nov 12 04:53:24] SECURITY[887] res_security_log.c: SecurityEvent="[b]InvalidPassword[/b]",EventTV="2015-11-12T04:53:24.815+0300",Severity="Error",Service="SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d8000f48",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/85.114.130.14x/9627",Challenge="6a7fcf86",ReceivedChallenge="6a7fcf86",ReceivedHash="139f3eca328eca0d6edfec387da14767" ...
как я понимаю им как-то в итоге удалось звонить без авторизации, вот безуспешные попытки подбора пароля:
Код: Выделить всё
[Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-11-12T04:56:13.043+0300",Severity="Informational",Ser
vice="SIP",EventVersion="1",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.x
34/9273",Challenge="1ecd6ad3"
[Nov 12 04:56:13] SECURITY[887] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-11-12T04:56:13.200+0300",Severity="Error",Service="
SIP",EventVersion="2",AccountID="1009",SessionID="0x7fb7d80109f8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.13x/927
3",Challenge="1ecd6ad3",ReceivedChallenge="1ecd6ad3",ReceivedHash="41760266ac5ba7706bf407bc7f029046"
и почти сразу пошел звонок на Латвию на телефон 3716606045x:
Код: Выделить всё
[Nov 12 04:56:33] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:33.152+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803d1c8",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"
[Nov 12 04:56:34] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:34.804+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"
[Nov 12 04:56:35] SECURITY[887] res_security_log.c: SecurityEvent="SessionLimit",EventTV="2015-11-12T04:56:35.569+0300",Severity="Error",Service="SIP
",EventVersion="1",AccountID="8103716606045x",SessionID="0x7fb7d803ae78",LocalAddress="IPV4/UDP/xx.xx.99.63/6060",RemoteAddress="IPV4/UDP/83.244.51.
13x/9273"
Код: Выделить всё
[Nov 12 04:54:52] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '83.244.51.13x:26558' - Wrong password
[Nov 12 04:55:45] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '85.114.130.14x:9627' - Wrong password
[Nov 12 04:58:53] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '83.244.51.13x:26558' - Wrong password
[Nov 12 05:03:45] NOTICE[870] chan_sip.c: Registration from '<sip:1009@xx.xx.99.63>' failed for '85.114.130.14x:9627' - Wrong password
куда копать товарищи?